文档

阿里云 - SSL VPN 二次认证

更新时间:

本文为您介绍如何使用 IDaaS 实现阿里云 - SSL VPN 二次认证。

一:添加应用

  1. 登录 IDaaS管理控制台

  2. 前往 应用-添加应用-应用市场,搜索到 阿里云 - SSL VPN 应用模板。image

  3. 点击 添加应用。确认应用名称,即可完成添加。image

  4. 授权账户访问应用权限image

    如果您实例内的 IDaaS 账户全部需要使用该应用,请选择全员可访问,所有用户都可以获得该应用的访问权限。

    如果您有更精细化的权限管理需求,请选择手动授权,并在应用授权中操作权限的分配。image

二:创建SSL服务端

  1. 登录VPN网关管理控制台

  2. 在左侧导航栏,选择网间互联 > VPN > SSL服务端

  3. 在顶部菜单栏处,选择SSL服务端的地域。

    本示例选择华东1(杭州)

    image

  4. SSL服务端页面,单击创建SSL服务端image

  5. 创建SSL服务端面板,根据以下信息配置SSL服务端,然后单击确定

    • 名称:输入SSL服务端的名称。

    • VPN网关:选择步骤一中创建的VPN网关。

    • 本端网段:以CIDR地址块的形式输入客户端通过SSL-VPN连接要访问的网段。本示例输入192.168.1.0/24

    • 客户端网段:以CIDR地址块的形式输入客户端连接服务端时使用的网段。本示例输入10.0.0.0/24image

    • 高级配置:打开高级配置,并完成以下配置。

      • 协议:选择SSL连接使用的协议,支持UDP和TCP。本示例使用默认配置。

      • 端口:SSL连接使用的端口。本示例使用默认配置。

      • 加密算法:SSL连接使用的加密算法,支持AES-128-CBC、AES-192-CBC、AES-256-CBC。本示例使用默认配置。

      • 是否压缩:是否对传输数据进行压缩处理。本示例使用默认配置。

      • 双因子认证:打开双因子认证,然后选择IDaaS实例,并关联到步骤一创建的应用。image

三:配置AD/LDAP认证(可选)

双因子认证默认仅支持使用IDaaS的用户名和密码进行认证,您可以选择配置AD认证。配置成功后,SSL-VPN具备AD认证能力。如果您仅需要使用IDaaS的用户名和密码进行认证,请忽略该步骤。

  1. 应用提供方页面,找到您希望使用的认证源(AD/LDAP),单击添加对应认证源。image添加认证源步骤请参考:绑定AD绑定OpenLDAP

  2. 应用页面,找到步骤一创建的应用,在操作列单击管理

    image

  3. 在上方导航栏,选择登录访问 > 单点登录,然后单击身份提供方,选择目标认证源。image

四:创建并下载SSL客户端证书

根据SSL服务端配置,创建并下载SSL客户端证书。

  1. 登录VPN网关管理控制台

  2. 在左侧导航栏,选择网间互联 > VPN > SSL客户端

  3. 在顶部菜单栏处,选择SSL客户端的地域。

    本示例选择华东1(杭州)

  4. SSL客户端页面,单击创建SSL客户端证书

  5. 创建SSL客户端证书面板,根据以下信息配置SSL客户端证书,然后单击确定

    • 名称:输入SSL客户端证书的名称。

    • SSL服务端:选择步骤二中创建的SSL服务端。

    image

  6. SSL客户端页面,找到已创建的SSL客户端证书,然后在操作列单击下载证书image

步骤五:配置客户端

完成以下操作,配置Windows客户端。

  1. 下载并安装OpenVPN客户端。

    下载OpenVPN

  2. 将步骤四中下载的证书解压拷贝到OpenVPN\config目录。

    本示例将证书解压拷贝到C:\Program Files\OpenVPN\config目录,请您根据安装路径将证书解压拷贝到实际的目录。image

  3. 启动Openvpn客户端软件,并完成用户名和密码认证。

    客户端验证账号密码

  • 本页导读 (0)