我目前正在设置 OpenVPN 以提供对多个客户的公司访问权限。我们的要求是使用证书、密码保护客户端密钥,以及对每个客户端使用双因素 (MFA) 身份验证。
我有一堆我想使用的 Fortinet FortiToken 200 令牌,但我找不到任何信息来说明如何将这些令牌与 OpenVPN 之类的东西一起使用。在环顾四周之后,我也找不到任何信息来说明如何将物理令牌与 OpenVPN 一起使用。
所以我的问题是,如何在 OpenVPN 中使用物理令牌?我不能使用 Google Authenticator 之类的东西,因为我们还计划通过他们的智能手机让客户端 VPN 进入。OpenVPN PKCS#11 how-to 文档写得很糟糕。
我开始相信,如果 MFA 是一项要求,那么 OpenVPN 目前根本不是一个可行的选择。
谢谢你的帮助。
基本上:
openvpn --show-pkcs11-ids /path/to/pkcs11/driver.so在您的配置文件中,从输出中为您的键指定模块和序列化 ID
--show-pkcs11-ids,例如:pkcs11-providers /usr/lib/x86_64-linux-gnu/pkcs11/gnome-keyring-pkcs11.so
pkcs11-id Gnome\x20Keyring/1\x2E0/1\x3AUSER\x3ADEFAULT/Gnome2\x20Key\x20Storage/417AEDAAB81FEF6AEBD1EC43D76A630CAAA4722
(确保避开 pkcs-id 中的任何反斜杠,例如
Gnome\x20Keyring变为Gnome\\x20Keyring.)