Привет всем! Собираюсь установить OpenConnect VPN (он же AnyConnect) на докере дома и немного завис на теме того, какой способ авторизации настроить. Мой дом конечно не энтерпрайз, но хочется чтобы всё было автономно и максимально защищено. Поэтому возник вопрос, а какой всётаки способ авторизации выбрать и что будет разумно+не сильно запарно по времени чтобы это настроить и впоследствии поддерживать. Расматривались следующие варианты:

1. Авторизация сертификатами. Конечно было бы круто чтобы каждый клиент (читай девайс) имел свой собственный сертификат. Но для этого нужно:

   - какой-то механизм слежения и обновления сертификатов которые подходят к концу пригодного времени. Сам Openconnect не умеет этого.

   - механизм раздачи сертификатов на конечные девайсы. Что-то вроде MDM которое умеет раздавать сертификаты прямо в хранилище сертификатов девайсов (Certificate Store, Credential Storage), будь то Windows пк или Android смартфон. Пока что не нашел на опенсоурсе продукт который поддерживает сразу несколько клиентских платформ, который поддерживается сегодня разработчиками и хорошо работает на докере.

2. Radius - с использованием комбинации username+password. Плюс в том что это легко настроить. Минус в том что пароли устаревают. Часто менять их на новые совсем нет желания. К тому же это подлежит риску брутфорса. Можно конечно подключить MFA, но я уже терял телефоны и знаю к каким печалям это приводит.