Подключение Linux-сервера к AWS-VPN с использованием аутентификации OKTA Push Authentication
Прежде всего, новичок, связанный с проблемами VPN/ безопасности, так что действительно простите меня за любую ошибку, которую я делаю при описании своей проблемы, и надеюсь, что я смогу прояснить это.
Наши подрядчики заменили AVIATRIX-OKTA VPN на AWS-VPN с аутентификацией OKTA, они отправляют в виде файла.ovpn, который работает нормально для Windows/MAC с использованием прикладного программного обеспечения AWS-Vpn-Client, но некоторые из нас используют Linux-системы (в частности, Ubuntu) запустите описанный метод в AWS, который: openvn config-file.ovpn, и это не работает.
Он просто запрашивает usr/pwd, а затем выходит из строя с ошибкой аутентификации (мы используем наши учетные данные OKTA), похоже, ничего не настроено для перехода в OKTA, открытия браузера или того, что ему нужно сделать.
В качестве примечания, мы можем без проблем подключиться к нашему кластеру k8s, используя клиентские библиотеки OKTA, на всякий случай не уверен, полезно это или нет.
Файл.ovpn выглядит так
client
dev tun
proto tcp
remote random.cvpn-endpoint-xxxxxx.yyy.clientvpn.us-west-2.amazonaws.com 443
remote-random-hostname
resolv-retry infinite
nobind
persist-key
persist-tun
remote-cert-tls server
cipher AES-256-GCM
verb 5
<ca>
....
....
....
</ca>
auth-user-pass
auth-federate
auth-retry interact
auth-nocache
reneg-sec 0
Интересно отметить, что openvpn жалуется на auth-federate, похоже, не распознает его, поэтому я начал использовать gnome network-manager, который, похоже, принимает эту конфигурацию, но также получает ошибку Auth.
После этого я попробовал openvpn3, который не жаловался на конфигурацию, но все равно получал ту же ошибку.
Я также попытался добавить токен TOPT к паролю, и та же проблема
Любая помощь о том, как его настроить, или просто узнать, возможно ли это, будет очень приветствоваться, кажется, в сети очень мало информации об этом, и мы действительно застряли на этом, мы не хотим менять ОС или машины, поскольку они просят или используют виртуальную машину только для подключения.
Заранее спасибо,
1 ответ
Наконец я получил ответ от сотрудников AWS:
Если конечная точка VPN клиента настроена с использованием аутентификации на основе SAML (например, Okta), то для подключения необходимо использовать предоставленный AWS клиент:
https://docs.aws.amazon.com/vpn/latest/clientvpn-admin/client-authentication.html
И обещание обновить документацию по клиенту с ПРЕДУПРЕЖДЕНИЕМ об этом.
Мы попробовали решение, указанное в следующем URL-адресе, и оно сработало для нас:
https://github.com/samm-git/aws-vpn-client/blob/master/aws-connect.sh
Подробная работа этого решения объясняется в:https://github.com/samm-git/aws-vpn-client/blob/master/aws-connect.sh.
Мы внесли несколько изменений в файлы конфигурации, чтобы он работал.
В vpn.conf удалены следующие строки.
- auth-user-pass
- авторизация
Сделал следующее изменение в строке 38 сценария aws-connect.sh.
open "$URL"
к
xdg-open "$URL"