Я обрёл клавиатуру без кнопки выключения, к которой привык

Первые дни было больно — я привык отправлять комп спать комбинацией клавиш, а тут такая засада:

Нету кнопки «выкл» и всё тут.

А потом, я подумал — яж в линукс, тут такая проблема должна решаться просто назначением клавиш.

Не тут-то было, в новом Gnome в комбинациях клавиш нет «сон» или «выкл»:

Вместо этого, можно «выбрать действие кнопки питания

Казалось бы, боль и страдания, но это ж линукс, так что надо просто создать новую комбинацию клавиш для команды

$ systemctl suspend

Что делать:

Перейти в «Параметры — Комбинации клавиш«

Нажать « внизу экрана

Добавить комбинацию клавиш по вашему выбору и сохранить


pfSense ikev2 c авторизацией Active Directory

Подготовка

Сертификаты

Для того, чтобы ikev2 без головной боли работал на клиентах, серверу всегда нужен валидный сертификат от реального центра сертификации. Использовать самоподписанные и импортировать CA на всех клиентах то ещё развлечение, по этому

  1. Добавьте запись в DNS, со ссылкой на внешний айпшиник pfsense. Типа vpn.example.com или ещё как-то
  2. Установите в pfSense расширение acme, которое автоматизирует получение бесплатных сертификатов от Let’sEncrypt. Там всё достаточно просто и очевидно.
  3. Получите бесплатный сертификат. Я делал это с проверкой через DNS, что требует добавления текстовой записи вида _acme-challenge.vpn.exmaple.com в DNS
  4. Запомните на будущее, что клиент должен обращаться к серверу только по созданному и указанному в сертификате доменному имени (то самое vpn.example.com)

Авторизация

Для авторизации логично использовать стандартный доменный пароль пользователей, это облегчает жизнь администратору :), но EAP-MSCHAPv2 авторизация не поддерживает прямое обращение к LDAP, т.к. шифрует логин и пароль. Зато шифрованные пароли хорошо поддерживает RADIUS, а Windows умеет в RADIUS, по этому:

  1. Создайте в AD группу, в которую будут входить пользователи VPN. В отличие от LDAP, в pfsense, RADIUS-метод управляет на основе групп, а не на основе контейнеров
  2. Настройте Microsoft NPS по инструкции от NetGate Не забудьте сохранить в блокнот «общий секрет» из мастера — он понадобится при настройке pfSense
  3. Дополните настройку NPS по вот этой инструкции от NetGate
  4. Настройте связь pfSense с RADIUS. Я опять же пользовался инструкцией от NetGate Протокол авторизации — MS-CHAPv2

ikev2

Просто настройте ikev2 по инструкции от NetGate, внеся изменения.

1. Выберите RADIUS-сервер в настройках Mobile Client

2. Выберите EAP-RADIUS протоколом аутентификации при настройках phase 1

pfSense OpenVPN + Active Directory, тонкости

В целом, на сайте Netgate есть очень качественный пример настройки, который можно использовать «один в один», но сначала надо подготовить авторизацию через LDAP (из Active Directory).

В Windows для этого ничего делать не надо, кроме создания пользователя для связи, а в pfSense настроить связку с LDAP по вот этой инструкции

Чтобы не морочиться с тем, почему не работает, важно правильно ввести имя пользователя в поле «Bind credentials».

Инструкция рекомендует использовать либо короткую %username%, либо каноническую «CN=username,CN=Users,DC=domain,DC=suffix»

В реальной жизни, работает нотация username@domain.suffx (bob@example.local)

Ещё один важный момент — авторизация в LDAP в актуальном pfSense управляет доступом не на основе групп пользователей, а на основе контейнеров (CN, OU) в вашей доменной структуре, так что доступ получат все пользователи указанного в конфигурации LDAP подразделения (контейнера, CN, OU)