web-dev-qa-db-fra.com

Authentification des utilisateurs métallurgiques

J'ai lu - Spécification métallique , et il semble qu'il ne supporte aucun type d'authentification de l'utilisateur (c'est-à-dire LDAP ou quelque chose comme ça). Tout client qui a la clé publique du serveur et dont l'adresse IP est Whitelisted dans la configuration du serveur, peut se connecter.

Est-ce que quelqu'un sait tout extension/implémentation métallurgique qui fournit une fonctionnalité d'authentification de l'utilisateur?

Merci!

4
Aleksandar Pesic

Chaque côté du tunnel a possédé ses propres clé généralisée et une clé publique dérivée (définie comme "peer" de l'autre côté de la connexion). Pour agir comme vous écrivez, vous partageriez la clé privée entre les "clients" qui est le pire cas que vous puissiez faire (techniquement, vous pouvez, mais j'espère que personne ne le penserait même).

Pensez aux rôles de "client vs. serveur".

serveur

  • propre clé secrète
  • liste de tous les pairs/utilisateurs possibles
    • chacun client est représenté par pair propre Définition sur le côté serveur avec clé publique pertinente du Client

Client

  • propre clé secrète
  • n pair Définition avec la clé publique du serveur

Nous pouvons dire que le client est authentifié à l'aide d'une authentification d'un facteur et l'authentification est réalisée à l'aide de la clé publique du client.

  • Accorder l'accès au nouveau client Moyenne d'ajouter une définition de pair au côté du serveur (peut être réalisée sans redémarrer VPN/sans casser toutes les sessions VPN actuelles).
  • Révoquer l'accès pour le client actuel Meigne suppression de la définition des pairs sur le côté serveur (à nouveau, il peut également être fait sans redémarrer VPN - fermer toutes les sessions actuelles).

Si j'ai correctement compris votre question, cette "fonctionnalité" est présente dans WireGuard hors de la boîte sans répondre aux extensions.

3
Kamil J

Comme @kamil dit, le concept WiderGuard est un peu différent de ce que d'autres solutions VPN, j'ai également commencé à l'utiliser depuis longtemps, et si vous souhaitez mettre en œuvre quelque chose qui utilise l'authentification existante, vous pouvez obtenir la façon dont je vois dans certains projets:

  • Authentifiez vos utilisateurs avec votre méthode préférée, plus 2FA, tout ce que vous voulez.
  • Après l'authentification de l'utilisateur, génèverez une touche/paire temporelle pour l'utilisateur et associez-la avec un point d'extrémité de la WG.
  • Grâce à un client de connexion sécurisé, récupérez leur configuration, cela inclut également les clés requises.
  • Lorsque la déconnexion ou la session de l'utilisateur expire, vous pouvez supprimer la pair du point de terminaison WG.

Tout cela bien sûr peut être automatisé sur le côté du client.

0
Securez