Okta RADIUS поддерживает только аутентификацию на основе PAP, которую поддерживает OpenVPN Access Server. Может ли кто-нибудь помочь мне понять, как это имеет смысл??? (и как Okta может оправдать реализацию этого, и как OpenVPN может это поддерживать?)
Вы обычно видите, что PAP используется в старых операционных системах или устаревших системах. И очень необычно видеть, что PAP используется сам по себе в наши дни. Это потому, что PAP общается в открытом виде. Таким образом, нет никакого шифрования или какой-либо дополнительной защиты информации, которую вы отправляете, используя этот протокол аутентификации по паролю.
Что касается размышлений о том, чтобы в первую очередь настроить его с помощью RADIUS, вы могли бы подумать, что MFA должен быть обязательным, поскольку вы отправляете свои учетные данные в открытом виде... однако это не относится к их документации.
Если МИД не включен и учетные данные пользователя действительны, пользователь аутентифицирован. Если МИД включен и учетные данные пользователя действительны, пользователю предлагается выбрать второй фактор аутентификации. Пользователь выбирает один из них (например, Google Authenticator или Okta Verify) и получает запрос на код подтверждения. Если код, отправленный обратно клиенту, правильный, пользователь получает доступ.
Я видел, читая их документацию, что Okta использует закрепление SSL. Тем не менее, я не понимаю, как это может быть полезно, поскольку решение для обмена данными VPN не собирается отправлять это в каком-то отсортированном инкапсулированном формате? (Или я неправильно понимаю?)