[mahno]

Hetkel on testimiseks viimane openvpn_as, ilma litsentsideta (2 builtin litsentsi). Jookseb centos 6.4 peal.

Töötab kenasti nii kasutajate lokaalne autentimine, kui ka radiuse või ldapi (AD) pihta autentimine.

Gruppide funktsionaalsus on olemas ja PAM autentimise puhul töötab ka kenasti. Kas kasutajaid on võimalik gruppidesse jagada ka mõne radiuse atribuudi või AD grupi põhjal?
(vaja on tekitada olukord, kus erinevad AD kasutajad-grupid saavad erinevad juurdepääsuõigused. Lihtsustatult näiteks nii: oma töötajatele full tunnel, lepingulistele näiteks vaid juurdepääs ajaarvestuse süsteemi veebiotsale, et nad saaks tunnid kirja panna. Ideeliselt väga käsitöö tasemele laskuda ei taha, olemasolevate gruppide haldus võiks piirduda ad-s kasutajate gruppi lisamisega. Cisco+radiuse puhul nii ka toimib, aga ciscol on hulk radiuse atribuute, mida ta kuulab ja arvestab).

Kas keegi oskaks soovitada vabavaralist SSL VPN clientless portaali, mis oleks aktiivses arenduses? SSLexplorer ja openvpn_als pole seda kumbki.

[kurask]

defineeri "clientless"

[mahno]

Clientless vpn = veebiportaal, kuhu kasutaja logib üle https sisse. Seejärel on tal seal mingi kogumik linke, millelt ta saab avada oma tööks vajalikke ressursse - olgu siis veebilingid, rdp või ssh aknad üle java/activex/html5 vms. Seejuures kasutaja ja kaugvõrgu vahel otsest võrgutunnelit ei tehta ja lõppkasutaja arvutisse mingit püsivat klienttarkvara ei paigaldata - kui siis mingi browseri addon vms, mille jaoks pole admin õigusi vaja. Kuna otsest võrgutunnelit ei tehta, siis pole ka klientarvutile nii kõrgeid nõudmisi, kui muidu tavalise paksu full tunnel kliendi korral.

AS pole iseenesest määrav, võib ka community olla, kui igapäevane adminnimine läbi AD gruppide käima hakkab. Samas 5 USD/concurrent user/year pole ka üle mõistuse kirves.

Tegelikult on cisco ASA sees kõik olemas Aga mul on juba täpiline allergia IOS-est (ok, asa on linux, aga loogika on ikka seesama äraspidine). Ja ülearu odav ei saa ASA koos litsentsidega ka olema. Juniperi MAG puhul ma selle clientless osa puhul pole kindel, aga vpn ise töötab väga hästi, nii palju kui ma klientidega kokku olen pidanud puutuma.

[kurask]

olen ka testinud ühte juniperi asja (sa series mingi), ja sellel ka ikkagi ta installib mingi automaatse asja(hetkel küll leidsin ainult 'juniper terminal services client'i oma pc-st, aga mälu järgi olen vpn nimetustega asju ka näinud) ära cliendi masinasse, nii nagu openvpn_as, et seda siis kutsutakse clientless? clientless selle järgi, et weebist saab klikkida tööle?

Kui muidugi vaadelda sellest aspektis, et mis kus töötab, siis see juniper performis kõikse paremini: isegi Tartu Ülikooli võrkudes läks üle http windowsi rdp püsti.

ja mis see asa siis maksab vs juniper sa või juniper mag vms hind?

[mahno]

Appliance + litsentside hinnad lappa ise kokku, sõltuvalt kasutajate arvust.

Selles mõttes on cisco clientless asi veel parem, et ta ei installi üldse midagi. Aga ta lubab paraku ainult HTTP-d läbi. Ja mida ta proxymiseks peakski installima.

EDIT:

Uurisin openvpn-auth-radius dokumenti (geneerilist, mitte AS-iga spetsiifiliselt kaasa tulevat) ja leidsin sellise lõigu:

VENDOR SPECIFIC ATTRIBUTES
---------------------------
If you want use vendor specific attributes the plugin can call your own program or script at the OpenVPN action
CLIENT-CONNECT and CLIENT-DISCONNECT.
If you want to use the feature you have to specify the program and a named pipe for communication
in the config file.
The file vsascript.pl shows an example.

Ehk siis põhimõtteliselt, täiendav skript võib radiuse vastusest vastava grupi nime välja lugeda küll...vist.

[vaegkuulja]

[mikk36]

Radius Server, mida AD ise vaikimisi juba pakub on ümbernurga?

[vaegkuulja]

[mahno]

Jätaks serveriteemas selle sildistamise kõrvale. Seltsimees vaegkuulja võiks endale ennem asjad selgeks teha, kui seletama tuleb. Radiuse protokoll on sisuline tööstusstandard. Jookseb nii windowsi, linuxi, maci kui ka mitte-pc platformide peal. Sobib hästi platformidevaheseks või platformiüleseks (kuidas soovid) integratsiooniks. Mina pean suutma pakkuda teenust nii windowsi (xp-8.1, maci kui ka linuxi levinud distrote) klientidele. See, mis backendi vastu radiuse server käib, on üsna vabalt valitav vastavalt vajadustele. Minu kui sso usku inimese jaoks on esimene valik AD.

Minul on paar raadiust - üks on paroolidega autentimiseks cisco jaoks ja teine sertidega wifi jaoks. Tõsi, kumbki neist pole IAS peal, vaid linuxid. Aga põhimõttelist vahet ei ole. AD ei suuda oma vahenditega paraku ei wifi ega cisco vpn serveri jaoks autentimise-autoriseerimise teenust pakkuda. Aga mõlemad radiused kasutavad autentimise backendiks AD-d.

Ma eelistan selliste väiketeenuste puhul linuxit, kuna ma saan litsentsimuredeta pidada dedicated virtuaalmasinaid - 1 masin = 1 teenus. Tunduvalt rahulikum ja muretum kui üks sadat teenust pakkuv masin. Aga IAS saab radiuse teenuse pakkumisega muidu täitsa hästi hakkama, olen kasutanud.

[vaegkuulja]

Kahtlen tugevalt et ei saa autentimisega hakkama.

[mahno]

Vaegkuulja, paku välja näide töötavast lahendusest, kus wifit autenditakse otse AD vastu üle ldapi, ja seejuures kasutatakse autentimiseks sertifikaate. Võtaks aluseks lihtsama infra, kus autentimist teevad wifi purgid ise, ilma vahepealse "serverita".

Umbes nii:

Wifi klient(läptop, mis jooksutab windowsi, macosi, linuxit või androidi) >> wifi AP/ruuter >> MS AD DC.

Ühtlasi kui sa oled osav 802.11x lahendustes, siis võid sealt ka mõne hea näite tuua Minu kogemus siin on üksikute katsetuste tasemel, töötavat pärislahendust ma teinud ei ole.

[vaegkuulja]

[mahno]

Vaegkuulja, sul midagi öelda ka on, või postitad niisama?

[vaegkuulja]

[mahno]

Ei ole nohikute jutt. Jutt on rohkem respektist teiste kasutajate vastu. Kui sul openvpn kasutajate autentimisel midagi öelda ei ole, palun ära kirjuta siin teemas mitte midagi. Kui vait olla ei suuda, tee oma teema ja postita seal. Või veel parem - tee natuke tööd reede pärastlõunal.

[vaegkuulja]

[friik1]

mahno, Network Policy Server, Active Directory Certificate Services ning toimiv 802.1X olemas.

[Spezz]

[mahno]

Jah, MS ad infrat kasutav lahendus on igati hea, niikaua kuni sul AD-s õigused on. Kui sa üled ühe globaalse ad küljes lihtsalt kui klient, pole asjad enam pooltki nii lihtsad.

[Mnator]

Aga siis lahendab ju hoopiski see, kellel on õigused, aga mitte sina ei sorgi võõras süsteemis.

[mahno]

Ei sorgigi võõras süsteemis. On suur jagatud infra, mida kõik kasutavad. Lisaks on aga vaja ära rahuldada need vajadused, mida suur infra ei paku, või mida ei ole sealt hetkel mõistlik tarbida.