本帖最后由 常鸿 于 2023-6-12 11:10 编辑
技术/方案 首发 盲目自信中
我不知道项目实施中,用外置CA做用户认证的场景多不多
但是外置CA 在做用户管控这边,真的需要下点功夫
如果管控的不到位,拥有ukey的人,可以任意的登录VPN,占用授权不说,万一在因为默认权限的配置问题,或者自身安全环境的问题,导致一系列的安全事件。可谓责任重大
VPN本来就是敏感产品,管控的越严格,风险自然越小
拿咱们的SSL VPN产品为例,以下讲解一下,如何在外置CA的场景下,进行登录人员的可控管理
添加外置CA的步骤先省略一下,这里有两种管控的方法
PLAN A:
创建完成外置CA以后 打开具体的配置界面
这边选择 仅信任导入到本地证书的用户来登录
然后 本地创建用户
进行证书的导入
这种配置,可以实现用户的筛选。不过需要提前把用户的证书拿到手。
这种方法,实际部署起来难度很高,因为很多的CA管理端都不会把证书发到VPN的管理员手里,所以,就没办法通过导入证书的方式来进行用户管控
还好我们还有PLAN B
在拿不到用户证书的前提下,只能是 选择信任该CA签发的所有用户
这样以来,所有拥有这个CA 的证书的用户,都可以进行登录了,这个肯定是要禁止的
这里做个小操作
选择配置映射规则
创建一个用户组,把默认的映射规则指向这个组
然后再把 这个组给禁用掉
这一顿操作,本来所有人都可以登录,现在变成了 所有人都没办法登录
接下来 重点来了
在其他的用户组里,创建跟key同名的账号,密码随意
然后勾选用户 选择其他操作,再选择 批量指定CA
批量指定CA 以后,接下来,更改用户的登录方式,让账号密码和ukey同时认证
这么一顿操作以后,简单讲一下,如果你只有一个属于这个CA 的key 你登陆时候,默认是登录不上,因为用户组禁用了
但是如果你有使用VPN的权限,管理员给你创建了本地账号密码,那么你就可以 先用账号密码登录,账号密码登录后,再进行key的验证,双因子都通过以后,就可以正常使用VPN了
虽然没试过,这个模式再零信任上应该也通用,但是 零信任 有上线准入策略,要实现同样的这个需求,会轻松很多
|