【问题标题】:Connecting in a Linux box to AWS-VPN using OKTA Push Authentication使用 OKTA 推送身份验证在 Linux 机器中连接到 AWS-VPN
【发布时间】:2020-06-22 17:13:08
【问题描述】:

首先,一个菜鸟,涉及到VPN/安全问题,所以真的 请原谅我在描述我的问题时所犯的任何错误, 并希望我能说清楚。

我们的承包商将 AVIATRIX-OKTA VPN 更改为带有 OKTA 的 AWS-VPN 身份验证,它们作为 .ovpn 文件发送,适用于 Windows/MAC 使用 AWS-Vpn-Client 应用程序软件,但 我们几个使用 Linux 机器(特别是 Ubuntu)运行 AWS 中描述的方法是:openvn config-file.ovpn, 它不起作用。

它只是询问 usr/pwd 然后它失败并出现身份验证错误(我们使用我们的 OKTA 凭据) ,似乎没有任何配置可以转到 OKTA、打开浏览器或任何需要执行的操作。

顺便说一句,我们可以使用 OKTA 毫无问题地连接到我们的 k8s 集群 客户端库,不确定这是否有用,以防万一。

.ovpn 文件如下所示

client
dev tun
proto tcp
remote random.cvpn-endpoint-xxxxxx.yyy.clientvpn.us-west-2.amazonaws.com 443
remote-random-hostname
resolv-retry infinite
nobind
persist-key
persist-tun
remote-cert-tls server
cipher AES-256-GCM
verb 5
<ca>
....
....
....
</ca>

auth-user-pass
auth-federate
auth-retry interact
auth-nocache
reneg-sec 0
         

一个有趣的事情是 openvpn 抱怨 auth-federate 似乎不认识它,所以我开始使用 gnome network-manager 这似乎 接受此配置,但也收到 Auth 错误。

在此之后我尝试了 openvpn3 没有抱怨配置, 但仍然出现同样的错误。

我也尝试过将 TOPT 令牌添加到密码中,同样的问题

任何关于如何配置它的帮助,或者只是知道是否可能,将非常受欢迎 , 好像网上关于这方面的信息很少 我们真的坚持这一点,我们愿意不改变操作系统或机器,因为他们 正在请求或使用 VM 只是为了连接。

提前致谢,

【问题讨论】:

    标签: linux amazon-web-services okta openvpn aws-vpn


    【解决方案1】:

    我们已经尝试了以下 URL 中提到的解决方案,它对我们有用:

    https://github.com/samm-git/aws-vpn-client/blob/master/aws-connect.sh

    此解决方案的详细工作原理在:https://github.com/samm-git/aws-vpn-client/blob/master/aws-connect.sh 中进行了说明。

    我们对配置文件进行了一些更改以使其正常工作。

    1. 删除 vpn.conf 中的以下行。

      • auth-user-pass
      • 身份验证联合
    2. 在脚本 aws-connect.sh 的第 38 行进行以下更改。

      open "$URL"
      

     xdg-open "$URL"
    

    【讨论】:

    • 您好 Minu,很高兴收到您和创建此项目的人的消息,我希望能够尽快尝试,感谢您的更新。
    • 可以确认 AWS SSO + IAM 作为 IdP 也能正常工作
    【解决方案2】:

    最后我得到了 AWS 人的回答:

    如果客户端 VPN 终端节点是使用基于 SAML 的 身份验证(例如 Okta),那么您必须使用 AWS 提供的 客户端连接:

    https://docs.aws.amazon.com/vpn/latest/clientvpn-admin/client-authentication.html#saml-requirements

    并承诺更新 del 客户端文档并带有警告 这个。

    【讨论】:

    • 你有没有在 Ubuntu 机器上得到这个工作?
    • 不,我们计划使用 Windows 虚拟机作为 VPN 的路由器/桥接器,但还没有开始工作。
    • 他们有没有提到未来支持 linux 的计划?
    • 在AWS群里也问过这个问题,没人提。
    • 现在有一个 Linux 客户端,虽然它很原始,我宁愿让客户端 VPN 与网络管理器一起工作。 aws.amazon.com/about-aws/whats-new/2021/06/…
    猜你喜欢
    • 2012-06-20
    • 2019-02-06
    • 2022-09-29
    • 1970-01-01
    • 1970-01-01
    • 2020-07-17
    • 2012-03-29
    • 2016-10-16
    • 2021-11-22
    相关资源
    最近更新 更多