klink0v (klink0v) wrote,
klink0v
klink0v

Category:

Вопрос по 2FA в OpenVPN

Если прикручиваешь к OpenVPN какую-нибудь дополнительную аутентификацию типа OTP (one time password) или AD / LDAP, то она будет вызываться каждый раз в процессе rekey. По умолчанию это то ли полчаса, то ли час, навскидку не вспомню. Понятно, что нормальный человек так работать не сможет. Если за пять минут до конца часа не ввести заново OTP или пароль от учётной записи, тебя просто вышибает из сессии. Это западло.

С одной стороны, проблема решается либо отключением rekey, либо выставлением какого-нибудь конского интервала а-ля "восемь часов". Можно конечно, но некрасиво.

У меня закралось подозрение, что народ-то как-то решает этот вопрос "по уму" (наверное). Чтобы и rekey не отключать / задирать, и в момент установления соединения однократно второй фактор запрашивать. Но как?

Update. Похоже, сам спросил, сам ответил. В платной версии (которая Access Server) как раз для этого предусмотрены session tokens. В халявной версии их, понятно, нет. Интересно, насколько сложно / не сложно прикрутить какие-нибудь костыли к community-версии, реализующие такой же функционал.

Update2. В Community-версии есть директивы "auth-gen-token" и "auth-token". Похоже, это как раз оно. Надо будет поковыряться.

Tags: openvpn, вопрос, сети
Subscribe

  • Веста

    Посмотрел на ТыТрубке некоторое количество видосиков про новые "Весты". Подумал, как же хорошо, что у меня самая простая самая древняя…

  • Бессвязного дыбра псто #85

    ... Проточный пищевой водонагреватель таки отработал пять лет. Неплохо для китайца. Как время-то, оказывается, летит. Как будто только вчера…

  • ООО "Два сказочных баклана"

    На видео типичная иллюстрация к обширной серии анекдотов наподобие "только в России можно топить 200 км/ч по встречке и получить удар в…

  • Post a new comment

    Error

    Anonymous comments are disabled in this journal

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

  • 1 comment