%20%EB%B2%84%EC%A0%84%EC%97%90%EC%84%9C%20%EB%AC%BC%EB%A6%AC%EC%A0%81%20%EC%95%94%ED%98%B8%ED%99%94%20%ED%86%A0%ED%81%B0%EC%9D%84%20%EC%82%AC%EC%9A%A9%ED%95%98%EC%84%B8%EC%9A%94..png)
현재 여러 클라이언트에 회사 액세스를 제공하기 위해 OpenVPN을 설정하고 있습니다. 우리의 요구 사항은 인증서를 사용하고, 클라이언트 키를 암호로 보호하고, 클라이언트당 이중 요소(MFA) 인증을 사용하는 것입니다.
사용하고 싶은 Fortinet FortiToken 200 토큰이 많이 있지만 OpenVPN과 같은 프로그램에서 이러한 토큰을 사용하는 방법을 보여주는 정보를 찾을 수 없습니다. 좀 더 둘러본 후에도 OpenVPN에서 물리적 토큰을 사용하는 방법을 보여주는 정보를 찾을 수 없습니다.
제 질문은 OpenVPN에서 물리적 토큰을 어떻게 사용할 수 있느냐는 것입니다. 스마트폰을 통해서도 클라이언트 VPN을 사용할 계획이므로 Google Authenticator와 같은 것을 사용할 수 없습니다. OpenVPN PKCS#11 방법 문서는 매우 제대로 작성되지 않았습니다.
MFA가 요구 사항이라면 OpenVPN은 현재로서는 실행 가능한 옵션이 아니라고 믿기 시작했습니다.
당신의 도움을 주셔서 감사합니다.
답변1
원래:
- 토큰용 pkcs#11 드라이버를 설치합니다(제공하지 않는 경우 토큰 제조업체에 문의하세요).
- openvpn에 해당 드라이버를 사용하도록 지시하고 토큰에 사용 가능한 키를 나열하십시오.
openvpn --show-pkcs11-ids /path/to/pkcs11/driver.so
구성 파일에서 출력의 키에 대한 모듈 및 직렬화된 ID를 지정합니다
--show-pkcs11-ids. 예:pkcs11-providers /usr/lib/x86_64-linux-gnu/pkcs11/gnome-keyring-pkcs11.so
pkcs11-id Gnome\x20Keyring/1\x2E0/1\x3AUSER\x3ADEFAULT/Gnome2\x20Key\x20Storage/417AEDAAB81FEF6AEBD1EC43D76A6 30CAAA4722A
(pkcs-id에서 백슬래시를 피하십시오. 예: Gnome\x20Keyring가 됩니다 Gnome\\x20Keyring.)