No momento, estou configurando o OpenVPN para fornecer acesso da empresa a vários clientes. Nosso requisito é usar certificados, proteger com senha as chaves do cliente, bem como usar autenticação de fator duplo (MFA) por cliente.
Eu tenho um monte de tokens Fortinet FortiToken 200 que gostaria de usar, mas não consigo encontrar nenhuma informação que mostre como usar esses tokens com algo como OpenVPN. Depois de procurar um pouco mais, não consigo encontrar nenhuma informação que mostre como alguém pode usar um token físico com o OpenVPN.
Então, minha pergunta é: como posso usar um token físico com o OpenVPN? Não posso usar algo como o Google Authenticator, pois planejamos ter clientes VPN também por meio de seus smartphones. A documentação de instruções do OpenVPN PKCS#11 está muito mal escrita.
Estou começando a acreditar que, se o MFA é um requisito, o OpenVPN simplesmente não é uma opção viável neste momento.
Obrigado pela ajuda.
Basicamente:
openvpn --show-pkcs11-ids /path/to/pkcs11/driver.soEm seu arquivo de configuração, especifique o módulo e o id serializado para sua chave na
--show-pkcs11-idssaída, por exemplo:pkcs11-providers /usr/lib/x86_64-linux-gnu/pkcs11/gnome-keyring-pkcs11.so
pkcs11-id Gnome\x20Keyring/1\x2E0/1\x3AUSER\x3ADEFAULT/Gnome2\x20Key\x20Storage/417AEDAAB81FEF6AEBD1EC430D74ACA74A74A
(Certifique-se de escapar de qualquer barra invertida no pkcs-id, por exemplo,
Gnome\x20Keyringtorna -seGnome\\x20Keyring.)