Проблема сертификатов в большом масштабе

В предыдущих статьях мы обсуждали, что OpenVPN использует сертификаты для аутентификации. Этот метод надёжен, но имеет существенные недостатки:

• Неудобство для пользователей: Каждому пользователю нужно вручную передать и установить свой сертификат.
• Сложность управления: При увольнении сотрудника необходимо отозвать его сертификат, что требует дополнительных действий.
• Отсутствие централизации: У каждого сервиса, куда нужен доступ, своя система авторизации.

Решение этой проблемы — использование централизованного провайдера идентификации, такого как Keycloak.

Роль Keycloak: Единый центр входа

Keycloak — это open-source система управления доступом и идентификацией (Identity Provider, IdP). Её основная задача — стать “единым входом” (Single Sign-On, SSO) для всех ваших сервисов.

При интеграции с OpenVPN, Keycloak берёт на себя все задачи, связанные с аутентификацией:

• Хранение базы пользователей и их паролей.
• Поддержка двухфакторной аутентификации (2FA).
• Возможность входа через социальные сети или другие IdP.

Как это работает на концептуальном уровне?

Вместо того чтобы аутентифицировать пользователя по сертификату, OpenVPN перенаправляет запрос на сервер Keycloak.

1. Попытка подключения: Клиент OpenVPN пытается установить соединение.
2. Запрос на аутентификацию: OpenVPN-сервер отправляет запрос на сервер Keycloak, который является его “доверенным лицом”.
3. Аутентификация через браузер: Браузер пользователя открывает страницу входа Keycloak. Пользователь вводит свой логин и пароль.
4. Проверка и токен: Keycloak проверяет данные и, в случае успеха, отправляет OpenVPN-серверу специальный токен.
5. Установка соединения: OpenVPN-сервер проверяет токен, убеждается в подлинности пользователя и разрешает ему доступ.

Таким образом, аутентификация становится удобной и привычной для пользователя. Ему не нужно беспокоиться о сертификатах, а администратор получает централизованный контроль над всеми учетными записями.

Преимущества интеграции OpenVPN и Keycloak

• Удобство: Пользователи входят в сеть по своему привычному логину и паролю.
• Безопасность: Вы можете принудительно использовать двухфакторную аутентификацию для входа в VPN.
• Масштабируемость: Добавлять и удалять пользователей можно в одном месте — на сервере Keycloak.
• Автоматизация: Управление доступом может быть автоматизировано, например, при помощи API.

Заключение

OpenVPN, изначально созданный на основе инфраструктуры сертификатов, демонстрирует удивительную гибкость. Возможность интеграции с современными Identity Provider’ами, такими как Keycloak, позволяет ему оставаться актуальным и соответствовать требованиям корпоративной безопасности. Эта связка объединяет надёжность и гибкость протокола с удобством и безопасностью централизованного управления пользователями.