Hello, j'arrive un peu tard mais pour la société ou je bosse on utilise du
openvpn plus un script d'auth python qui interroge l'api de serveur
privacyidea. Avant c'était du Linotp. Ça tourne depuis plus de 5 ans sans
failles.
privacyidea gere les TOTP et l'AD/LDAP qui va bien derrière.
Le serveur utilise une config avec juste une CA (pas besoin de certificats
par utilisateurs l'auth se fait via login/password et la valeur du token se
met avec le password.On concatene la valeur du totp avec le password
(devant ou derriere au choix).
En cherchant privacyidea et openvpn tu trouveras des tutos pour monter ça
avec un plugin freeradius pour openvpn et freeradius fait l'appel api a
privacyidea mais si tu codes un peu tu peux te passer de freeradius et
faire l'auth depuis openvpn directement.


Cordialement

Le mer. 15 janv. 2025 à 02:45, DUVERGIER Claude <
frsag...@claude.duvergier.fr> a écrit :

> Merci pour les propositions,
>
> J'avais vu passer le combo SoftEther+Radius mais sans le regarder en
> détails.
>
> Sinon le fait que Tailscale/Headscale (que je connais peu) remonte
> autant me fait me questionner sur mon avis sur WireGuard (que j'ai déjà
> utilisé).
> De mémoire, le fonctionnement à base de clés le rendait peu "facile"
> d'utilisation pour les néophytes ne connaissant que le couple
> login+password (et je ne le voyait pas être couplé à un LDAP par exemple).
>
> Je vais devoir creuser.
>
> --
> DUVERGIER Claude
>
> Le 14/01/2025 à 18:57, DUVERGIER Claude a écrit :
> > Bonjour,
> >
> > Je cherche une "solution" libre de VPN (client/serveur) qui puisse
> > permettre à des utilisateurs novices de se connecter, via un client
> > dédié sur leur ordinateur et/ou smartphone, à un serveur VPN via un
> > simple couple login/password (et donc, de là, accéder à un réseau
> > privé :P).
> >
> > Il faudrait que le référentiel d'identité soit "déporté", type annuaire
> > LDAP ou des fournisseurs d'identité (IdP) pour limiter la maintenance de
> > ce point de vue là (lors des arrivées/départs par exemple).
> >
> > Je ne cherche pas de solution SaaS : je veux auto-héberger moi-même le
> > serveur VPN.
> >
> > Je sais que le couple OpenVPN et LDAP (OpenLDAP ou autre) fonctionne
> > très bien (déjà testé sur OPNsense notamment), mais des VPN "plus
> > récents" type WireGuard me font de l'œil alors je regarde ce qui peut
> > exister.
> >
> > Firezone est opensource et semble supporter différents IdP [1] mais sans
> > être clair sur leur disponibilité pour la version self-hosted.
> >
> > Pour NetBird ça semble être bon vu que leur self-hosted quickstart donne
> > un exemple avec Zitadel [2].
> >
> > Est-ce que vous auriez d'autres propositions ?
> >
> > Ou alors des arguments pour rester sur OpenVPN ?
> >
> > [1] : https://www.firezone.dev/kb/authenticate
> > [2] : hhttps://docs.netbird.io/selfhosted/selfhosted-quickstart
> >
>
> _______________________________________________
> Liste de diffusion du French Sysadmin Group
> https://www.frsag.org/
>


-- 
<https://time-planet.link/cta-signature-mail>
_______________________________________________
Liste de diffusion du French Sysadmin Group
https://www.frsag.org/

Répondre à