Sto installando una rete di computer per ingegneri del software. Attualmente ho tutte le connessioni SSH attraverso un host jump / bastion, con accesso ai server di produzione che richiedono l'inoltro dell'agente SSH.
Ai fini dell'accesso a servizi HTTP potenzialmente non protetti rivolti all'interno (come un dashboard di amministrazione o un notebook IPython), l'utente deve portare la porta del server di produzione su localhost.
Sono interessato al provisioning di un server OpenVPN per gli utenti, consentendo loro di accedere ai servizi interni senza port forwarding. Tuttavia, l'accesso a questi servizi (come un notebook IPython) è equivalente all'accesso SSH / shell.
Se implemento OpenVPN insieme alla mia configurazione OpenSSH esistente, gli utenti finali avrebbero due metodi per ottenere l'accesso alla shell remota: la chiave SSH e la chiave TLV OpenVPN. Temo che questo complichi l'autenticazione per i miei utenti, aumenti la superficie di attacco della rete e aumenti la difficoltà di controllo dell'accesso e rilevamento delle intrusioni.
In base a ciò, è una buona idea distribuire OpenVPN? In tal caso, quali sono alcuni modi in cui posso semplificare la gestione delle chiavi per i miei utenti? (I miei utenti possono utilizzare la stessa chiave RSA per OpenVPN TLS e SSH?) Come posso raccogliere la registrazione sul server per fornire un'esperienza di controllo identica per l'accesso VPN e SSH?