Как OS X может выполнять «единый вход VPN»?

Вы можете использовать Tunnelblick в качестве внешнего интерфейса для OpenVPN. После установки он запускается автоматически при входе пользователя в систему. Его также можно настроить для автоматического подключения в диалоговом окне «Сведения о VPN» :

Похоже, он работает и с OpenDirectory, начиная с версии 3.1beta16 (сейчас я использую версию 3.4.2). Взято из примечаний к выпуску ( Что нового в Tunnelblick 3.1beta16 (Изменения по сравнению с 3.1beta14) )

• Устраняет проблемы при использовании OpenDirectory, когда домашний каталог пользователя находится на платформе, отличной от Mac.

Итак, вкратце, хотя он не обеспечивает вход в VPN на экране входа в систему, как это было запрошено, конечный результат почти такой же — вы входите в систему, и VPN-соединение уже запущено.

Надеюсь это поможет.

Одного Маленького Снитча достаточно. Некоторая комбинация Little Snitch или программного обеспечения Apple Server поможет вам достичь того, что вы ищете. После установки Little Snitch будет запрещать/разрешать исходящие соединения на основе сохраненной (защищенной паролем) конфигурации. Только VPN можно настроить таким образом, чтобы этот пользователь не мог подключиться, кроме как через разрешенные подключения. Пользователь должен будет войти на VPN-сервер после входа вручную или через связку ключей.

Apple Server также довольно универсален, и поддержка Apple Enterprise Server довольно хороша, тем более что она поставляется бесплатно с серверным программным обеспечением за 20 долларов.

Вот ответ Apple: http://support.apple.com/kb/PH15510

Администратор сервера Mavericks: аутентификация единого входа

OS X Server использует Kerberos для аутентификации единого входа, что избавляет пользователей от необходимости вводить имя и пароль отдельно для каждой службы. При единой регистрации пользователь всегда вводит имя и пароль в окне входа. После этого пользователю не нужно вводить имя и пароль для службы AFP, почтовой службы или других служб, использующих проверку подлинности Kerberos.

Чтобы воспользоваться преимуществами единого входа, пользователи и службы должны быть настроены на проверку подлинности Kerberos и использовать один и тот же сервер Kerberos KDC.

Учетные записи пользователей, которые находятся в каталоге LDAP на сервере Mac и имеют тип пароля Open Directory, используют встроенный сервер KDC. Эти учетные записи пользователей настроены для Kerberos и единого входа. Службы Kerberized сервера используют встроенный KDC сервера и настроены для единого входа.

Этот сервер Mac KDC также может аутентифицировать пользователей для услуг, предоставляемых другими серверами. Наличие большего количества серверов с OS X Server для использования сервера Mac KDC требует лишь минимальной настройки.

Проверка подлинности Kerberos

Kerberos был разработан в Массачусетском технологическом институте для обеспечения безопасной аутентификации и связи в открытых сетях, таких как Интернет. Он назван в честь трехголового пса, который охранял вход в подземный мир из греческой мифологии.

Kerberos предоставляет подтверждение личности для двух сторон. Это позволяет вам доказать, кто вы, сетевым службам, которые вы хотите использовать. Это также доказывает вашим приложениям, что сетевые службы являются подлинными, а не поддельными.

Как и другие системы аутентификации, Kerberos не обеспечивает авторизацию. Каждая сетевая служба определяет, что вам разрешено делать на основе вашей подтвержденной личности.

Kerberos позволяет клиенту и серверу идентифицировать друг друга намного безопаснее, чем обычные методы аутентификации по паролю запрос-ответ. Kerberos также обеспечивает среду единого входа, в которой пользователи проходят проверку подлинности только один раз в день, неделю или в другой период времени, тем самым сокращая частоту проверки подлинности.

OS X Server предлагает интегрированную поддержку Kerberos, которую может развернуть практически любой. На самом деле развертывание Kerberos происходит настолько автоматически, что пользователи и администраторы могут не осознавать его развертывание.

Это настройка по умолчанию для учетных записей пользователей в каталоге LDAP сервера Mac. Другие службы, предоставляемые сервером каталогов LDAP, такие как AFP и почтовая служба, также автоматически используют Kerberos.

Если в вашей сети есть другие серверы с OS X Server, подключить их к серверу Kerberos несложно, и большинство их служб автоматически используют Kerberos.

В качестве альтернативы, если в вашей сети есть система Kerberos, такая как Microsoft Active Directory, вы можете настроить сервер Mac и компьютеры Mac для использования ее для аутентификации.

Интернет по своей природе небезопасен, однако немногие протоколы аутентификации обеспечивают реальную безопасность. Злоумышленники могут использовать легкодоступные программные инструменты для перехвата паролей, отправляемых по сети.

Многие приложения отправляют пароли в незашифрованном виде, и они готовы к использованию, как только будут перехвачены. Даже зашифрованные пароли не являются полностью безопасными. При наличии достаточного количества времени и вычислительной мощности зашифрованные пароли могут быть взломаны.

Чтобы изолировать пароли в вашей частной сети, вы можете использовать брандмауэр, но это не решает всех проблем. Например, брандмауэр не обеспечивает защиту от недовольных или злонамеренных инсайдеров.

Kerberos был разработан для решения проблем сетевой безопасности. Он никогда не передает пароль пользователя по сети и не сохраняет пароль в памяти компьютера пользователя или на диске. Таким образом, даже если учетные данные Kerberos взломаны или скомпрометированы, злоумышленник не узнает исходный пароль, поэтому потенциально он или она может скомпрометировать лишь небольшую часть сети.

Помимо превосходного управления паролями, Kerberos также обеспечивает взаимную аутентификацию. Клиент аутентифицируется в службе, а служба аутентифицируется в клиенте. Атака «человек посередине» или спуфинг невозможна при использовании служб с поддержкой Kerberos, а это означает, что пользователи могут доверять службам, к которым они обращаются.

Kerberos доступен на всех основных платформах, включая OS X, Windows, Linux и другие варианты UNIX.

Не ограничивайтесь паролями

Сетевая аутентификация сложна: для развертывания метода сетевой аутентификации клиент и сервер должны согласовать метод аутентификации. Хотя клиент-серверные процессы могут согласовать пользовательский метод аутентификации, добиться повсеместного внедрения в наборе сетевых протоколов, платформ и клиентов практически невозможно.

Например, предположим, что вы хотите развернуть смарт-карты в качестве метода сетевой аутентификации. Без Kerberos вы должны изменить каждый клиент-серверный протокол для поддержки нового метода. Список протоколов включает SMTP, POP, IMAP, AFP, SMB, HTTP, FTP, IPP, SSH, QuickTime Streaming, DNS, LDAP, домен локального каталога, RPC, NFS, AFS, WebDAV и LPR, и так далее. .

Учитывая все программное обеспечение, которое выполняет сетевую аутентификацию, развертывание нового метода аутентификации во всем наборе сетевых протоколов было бы сложной задачей. Хотя это может быть осуществимо для программного обеспечения от одного поставщика, вы вряд ли заставите всех поставщиков изменить свое клиентское программное обеспечение, чтобы использовать ваш новый метод. Кроме того, вы, вероятно, также захотите, чтобы ваша аутентификация работала на нескольких платформах (таких как OS X, Windows и UNIX).

Из-за конструкции Kerberos двоичный протокол клиент-сервер, поддерживающий Kerberos, даже не знает, как пользователь подтверждает личность. Поэтому вам нужно только изменить клиент Kerberos и сервер Kerberos, чтобы принять новое удостоверение личности, такое как смарт-карта. В результате вся ваша сеть Kerberos теперь приняла новый метод проверки подлинности без развертывания новых версий клиентского и серверного программного обеспечения.

Kerberos обеспечивает центральный центр аутентификации для сети. Все службы и клиенты с поддержкой Kerberos используют этот центральный центр. Администраторы могут централизованно проверять и контролировать политики и операции аутентификации.

Kerberos может аутентифицировать пользователей для следующих служб сервера Mac:

1. Окно входа
2. Почтовый сервис
3. Файловый сервис АФП
4. Файловая служба FTP
5. Файловая служба SMB (как член области Active Directory Kerberos)
6. VPN-сервис
7. Веб-служба Apache
8. Служба каталогов LDAP
9. Служба сообщений
10. файловая служба NFS

Эти службы были сертифицированы по протоколу Kerberos вне зависимости от того, запущены они или нет. Только службы, использующие Kerberos, могут использовать Kerberos для аутентификации пользователя. OS X Server включает инструменты командной строки для Kerberizing других служб, совместимых с Kerberos на основе MIT.

Единый вход

Kerberos — это система, основанная на учетных данных или билетах. Пользователь входит в систему Kerberos один раз, и ему выдается билет со сроком действия. В течение срока действия этого билета пользователю не нужно повторно проходить аутентификацию для доступа к службе Kerberized.

Клиентское программное обеспечение Kerberos пользователя, такое как приложение Mail, предоставляет действительный билет Kerberos для аутентификации пользователя для службы Kerberos. Это обеспечивает единый вход в систему.

Билет Kerberos похож на пропуск для прессы на джазовый фестиваль, который проводится в нескольких ночных клубах в течение трех дней выходных. Вы подтверждаете свою личность один раз, чтобы получить пропуск. Пока срок действия пропуска не истек, его можно предъявить в любом ночном клубе, чтобы получить билет на представление. Все участвующие ночные клубы принимают ваш пропуск, не видя вашего документа, удостоверяющего личность.