안녕하세요. VPN 관련해 질문 드릴게 있어서 글 올립니다.
현재 사내에 OpenVPN 서버를 자체적으로 생성하여 올려두었습니다.
Community 버전인데 현재는 LDAP과 구글OTP 2차 인증까지는 잘 연동이 되었습니다.
이제 LDAP+구글OTP가 아닌 외부 인증자를 호출하여 2차 인증을 진행하는 방식으로 구현해볼까 합니다.
예를 들어 VPN 연결시 Okta나 Auth0같은 외부 인증자를 호출하여 계정을 입력하면, Okta Verify나 Auth0 Guardian 같은 앱으로 연결 허용 푸쉬 알림이나 생체 인증 요청 같은 것을 구현해보고 싶은데..
관련 자료나 사용 사례 같은걸 아무리 찾아봐도 자료가 잘 없네요 ㅠㅠ
혹시 사내에서 자체 구축 VPN + 외부 인증자를 통한 MFA 를 구성해보신 분이 계실까요.?
계시다면 지식 공유 부탁드립니다 ㅠㅠ
2개의 답변이 있습니다.
okta와 연동하려는데... 굳이 자료를 찾으려할 필요가 있을까요??
okta에 연락해서 지원해 달라고 하면 기술력을 갖춘 엔지니어로 부터 제대로된 지원을 받을 수 있지 않을까 싶어 보이는데요~
요즘 많은 MFA 솔루션이 있는데 자체 구축된 오픈 VPN에서 Okta 또는 Auth0 를 통해 MFA를 구현하려면 OIDC 프로토콜을 사용할 수 있습니다. 이를 통해 오픈VPN은 인증 프로세스를 Okta 또는 Auth0 IdP에 위임할 수 있습니다.
■옥타 가입 후, 옥타 사용하여 오픈ID Connect 설정
- 옥타 관리 콘솔에서 오픈VPN 용 새 오픈 ID Connect 애플리케이션을 만들고, 오픈VPN의 리디렉션 URI를 궁성합니다.
■널리 사용되는 오픈VPN 용 OIDC 플로그인을 설치하고 (오픈VPN OAuth2 플러그인), 클라이언트 ID, 비밀번호 및 기타 관련 설정을 포함한 Okta OIDC 세부 정보로 플러그인을 구성합니다.
■OIDC 플러그인 설정을 포함하도록 오픈 VPN 구성을 업데이트 하세요.
■마지막을 변경사항을 적용하고 오픈VPN을 다시 시작하고, 오픈VPN 연결 및 인증 프로세스가 옥타로 리디렉션되는지 확인하여 설정을 테스트 합니다.
유사 사례 내용인데, 참고하세요.
무료로 Google OTP를 사용하여 MFA를 구현한 사례를 공유하니 참고하세요. 타사 툴이나 스크립트를 사용하여 Google Authenticator를 온프레미스 AD와 통합할 수 있습니다.
■휴대폰에 Google OTP 설치
■Google Authenticator를 온프레미스 AD와 통합
(툴은 GitHub에서 사용할 수 있습니다.)
GitHub 홈페이지(https://github.com/)에 접속해서 'Google Authenticator' 검색하여 관련 프로젝트를 찾아보세요.
google/google-authenticator 또는
google/google-authenticator-android
참고해보세요.
관련 프로젝트를 찾았다면 README 파일과 문서를 살펴보고 도구 작동 방식, 요구 사항 및 설정 방법을 숙지하세요.
참고로, 과거에 Google Authenticator를 LDAP와 통합하기 위해 사용된 도구 중 하나는 Ldap-Google-Authenticator 프로젝트 입니다.
■각 사용자 계정에 대해 Google Authenticator를 두 번째 요소로 활성화하도록 계정 구성
앵그리파파 | 3달 전
오픈VPN + 오픈VPN OAuth2 플러그인 구성예
참고로, 실제 구성은 선택한 특정 OIDC 플로그인과 신택한 Okta, Auth0 기능에 따라 달라질 수 있습니다.