何か他にないかなということで機能評価を兼ねて色々試してみた
softetherはフリー版は認証機能まわりが中途半端でボツ、ログ転送もできない
PPTPは認証がダメダメ
そんなわけでopenvpnにしてみた
導入は拍子抜けするほど簡単、証明書認証(pkcs12)とIDパス認証を組み合わせる設定も楽。
楽なんだけど内部でのIDパスの取り扱いを安全に行うようにするにはそれなりに作り込みが必要だった、そもそもopenvpnではプラグインという形で外部認証扱いになる。
プラグインの作成は簡単にやろうと思えばとっても簡単で、一番簡単なやり方はopenvpnから一時ファイルか環境変数を通して渡された入力値を、どこかに置いたIDパスが書かれたファイルから読み取って比較し、マッチしていれば0を返して終了、マッチしていなければ0以外を返して終了、というものを作るだけ。
(OpenVPNはその終了コードをみて外部認証が成功したか失敗したかを判断する)
ただ、この方法は安全ではないので、生のID/PASSはデータとして保存しないようにしたり、比較や参照も生のIDパスでやらないように等と工夫をすると、それを全部時前で用意しなければならなかったので面倒くさかった。
作り込み自体は難しいもんじゃないけど、実行コストを考えなきゃいけない環境だと手間がかさみそうだ
No comments:
Post a Comment