Re: LDAP

[Tim Sattarov]

On 04/14/18 16:00, Артём Н. wrote:
>
> - Оправданно ли вообще использование LDAP в таком случае?
LDAP удобная вещь, во многих случаях, твой похож на удобный
> - Как настроить его так, чтобы был TLS (в перспективе будет торчать "наружу") 
> с самоподписанным
> сертификатом?
> - Где хранить .ldif файлы?
> - Нужно ли делать /etc/ldap/ldap.conf или, как в руководстве, нужно "add 
> attributes to cn=config"?
> - Лучше запускать LDAP сервер в контейнере или устанавливать в систему?
Попробуй FreeIPA, это разработка РедХата, попытка сделать систему управления 
как Active Directory.
По сути 389/bind/kerberos/dogtag обвязанные питоном и с веб интерфейсом ( или 
REST + CLI, как
хочешь). Я к нему ещё FreeRadius прикручивал.
достаточно хорошо скрывает от админа детали реализации и связки компонентов, 
так чтобы "работало и
не надо год разбираться"

есть:
- в Debian, только не уверен насколько хорошо портирован, изначально делался 
для RH ( я его гоняю в
CentOS)
- в контейнере: https://hub.docker.com/r/freeipa/freeipa-server/

Re: SAS hotswap и баг

[Tim Sattarov]

On 04/08/18 04:37, Артём Н. wrote:
> Вытащил диск, вставил на место, но в /dev его не увидел.
> Зато увидел вот это в dmesg:
>
а ты просто взял и вытащил диск? он был смонтирован?
из системы его удалял, перед тем как вытащить?

echo 1 > /sys/block/sda/device/delete

не пробовал пересканировать шину после того как вставил обратно?

echo "- - -" >/sys/class/scsi_host/host/scan

не уверен, насколько набор команд актуален современным ядрам, давно с дисками 
не возился.

Re: LDAP

[artiom]

> On 15/04/18 04:05 AM, Коротаев Руслан wrote:
>> Да, аутентификация по сертификату есть, если вы купите у своего
>> провайдера белый IP-адрес, то вам не нужны самоподписанные сертификаты,
>> можно использовать Let's Encrypt и разместить RADIUS-сервер на VPS. 
> 
> Вот тут добавлю, Let's Encrypt можно получить для динамического адреса
> используя сервис аля dyndns.
> 
Вот хотелось поподробнее про Let's Encrypt.
Эта идея сначала была, но загнулась, и теперь мои сертификаты
самоподписанные.
Я так понял, этот сервис подписывает сертификат, созданный на внешнее
доменное имя?

Re: LDAP

[artiom]

15.04.2018 17:15, Коротаев Руслан пишет:
> В сообщении от [Вс 2018-04-15 16:31 +0300]
> Артём Н.  пишет:
> 
>> 1. Это вносит проблемы с безопасностью.
>> 2. "Нормальным людям" пока ещё далеко до этого: где я, и где IPv6?
>>
>> Я статью почитал, там какая-то сильно передовая маргинальщина: IPv6,
>> новый файрволл, TAYGA и NAS64. Если я с этим сейчас буду разбираться,
>> мои проекты встанут на год, и меня проклянут. В текущем варианте, я
>> просто хочу "чтобы работало", заниматься исследованиями новых сетевых
>> технологий, пока времени нет.
> 
> Согласен, у вас выверенная, хорошо аргументированная позиция, здесь не
> поспоришь.
> 
Ну да, сарказм уместен.
Но, если серьёзно, во-первых, я предполагаю, что выловлю больше проблем
с технологией, которая от меня далека, чем с тем, что есть сейчас (к
тому же, в текущем варианте работает, только LDAP остался и пробросы).
Во-вторых, там реально много неисследованных проблем с безопасностью и
не только.
Мне до IPv6 пока далеко, это не решение моей текущей задачи, а отдельная
сложная тема.

>> А, в смысле точка ему выдаёт IP?
> 
> … ну, да, без IP-адреса интернет работать не может. Я сейчас ещё раз
> крепко подумал и решил — у вас действительно самый оптимальный, рабочий
> вариант. Он самодостаточен, что-либо менять, только портить.
> 
Я понял, просто у меня возникает недопонимание некоторых моментов.
Каждый раз точка будет выдавать IP,  а когда я захочу отозвать доступ?
А если некто займётся спуфингом (IP подделать не так уж сложно, как
кажется, кроме того есть и другие варианты, ещё более инвазивные)?
А что будет, когда пользователь закончит работу, но выданный ему
"внутри" IP ещё останется?
Как вообще настраивать файрволл, в таком случае?

Re: [RFR] po://apt/po/ru.po

[Gali Anikina]

> > msgid "Duplicate conf file %s/%s"
> > msgstr "Повторно указан файл настройки %s/%s"
> 
> 
> Он точно "указан" или просто есть дубликат файла?

Эта ошибка возникает при добавлении в хеш-таблицу файла, который там
уже есть. 
С другой стороны, это значит, что произошла коллизия между
конфигурационными 
файлами разных пакетов, так что можно считать и дубликатом. Как
предложите 
перевести?


Может так-
В системе уже имеется файл настройки %s/%s



--



> msgid "Insufficient information available to perform this download
securely"
> msgstr "Недостаточно информации для безопасной загрузки"
> 
> msgstr "Недостаточно информации для обеспечения безопасной загрузки"

"Обеспечение загрузки" звучит странновато. Возможно поменять на "для 
выполнения загрузки" - опять же, посмотрим, что скажут остальные.

Согласна-для выполнения безопасной загрузки


---

> msgid ""
> "An error occurred during the signature verification. The repository
is not
> "
> "updated and the previous index files will be used. GPG error: %s:
%s"
> msgstr ""
> "Произошла ошибка при проверке подписи. Репозиторий не обновлён, и
будут "
> "использованы предыдущие индексные файлы. Ошибка GPG: %s: %s"
> 
> 
> "При проверке подписи произошла ошибка. Поэтому обновление
репозитория "
> "не выполнено. Будут использоваться предыдущие индексные файлы."
> "Ошибка GPG: %s: %s"

Если честно, не вижу преимуществ вашего варианта над исходным. 
Перефразирование ради перефразирования?



Нет - при прочитывании текста руки сами правят механически- на
автомате- то есть мысль о том, чтобы создать "сибурды" отсутствует.
Просто сказывается опыт предыдущего чтения - любитель чтения :-))) и
руки (на клавиатуре) автоматически "приглаживают" фразу. Подтекста -
нет, других мыслей - тоже.

Вот смотрите - мне кажется, что здесь скупые рублённые фразы

1) Произошла ошибка при проверке подписи. 
2) Репозиторий не обновлён, и будут использованы предыдущие индексные
файлы. 
3) Ошибка GPG: %s: %s"


Я их чуть "пригладила" - чуть подправила стилистику (смягчила рублённые
фразы), но мнения у людей могут быть разными. 

-- 
> msgid ""
> "Skipping acquire of configured file '%s' as repository '%s' doesn't
have
> the " "component '%s' (component misspelt in sources.list?)"
> msgstr ""
> "Пропускается получение настроенного файла «%s», так как в
репозитории «%s»
> "
> "отсутствует компонент «%s» (возможно, компонент указан с ошибкой в
> sources."
> "list?)"
> 
> 
> "Пропускается получение готового файла настройки «%s», поскольку в
> репозитории" "«%s» отсутствует компонент «%s» (возможно, компонент
указан с
> ошибкой " "в sources.list?)"

Вам же уже писали, что происходит получение не файла настройки, а
именно 
настроенного файла (т.е. файла, "указанного" в файлах настройки,
например 
"<компонент>/binary-amd64/Packages").


Извините за повтор - у меня пока ещё недостаточно знаний, чтобы
сравнить с помощью регулярных выражений несколько файлов




> msgid ""
> "Release file for %s is not valid yet (invalid for another %s).
Updates for
> "
> "this repository will not be applied."
> msgstr ""
> "Файл Release для %s пока не действителен (недостоверный ещё %s).
Обновление
> " "этого репозитория производиться не будет."
> 
> "Файл Release для %s всё ещё не действует (недействительный для
нового %s)."
> "Обновление из этого репозитория производиться не будет."

Вы прочитали комментарий для переводчиков для этой записи? Разве 
"недействительный для нового 7д 3ч 42мин 1с" - это корректный русский
язык?


Нет, поскольку "ныряла" в файл - то через poedit, то через текстовый
редактор, 80-символов зрительно отсчитывала "на глаз" (и прочее-
пыталась понять, как другие люди работают только через текстовый
редактор с po-файлами), поэтому не досмотрела пояснения переводчику.
Буду внимательнее.


-
> msgid ""
> "This must be accepted explicitly before updates for this repository
can be
> "
> "applied. See %s manpage for details."
> msgstr ""
> "Требуется явное подтверждение, прежде чем можно будет обновить
данный "
> "репозиторий. Смотрите справочную страницу %s для дополнительной
> информации."
> 
> "Требуется явное подтверждение, прежде чем можно будет выполнить
обновление
> из " "данного репозитория. Смотрите справочную страницу %s для
> дополнительной " "информации."

Updates *for* this repository, а не *from*.


Тут я сделала небольшую замену исходя из смысла


было
можно будет обновить данный репозиторий

сделала
можно будет выполнить обновление из данного репозитория


Поэтому и не перевела "механистически" ("Updates *for* this repository,
а не *from*"). Потому что при первом чтении данной фразы у меня
возникли вопросы - какой репозиторий мы обновляем?

Вроде вот я пользователь к примеру не содержу у себя на компьютере
репозиторий. Архив скачанных файлов- да, но я их никому не раздаю.

Фраза
"Требуется явное подтверждение, прежде чем можно 

Re: LDAP

[D. H.]

On 15/04/18 04:05 AM, Коротаев Руслан wrote:
> Да, аутентификация по сертификату есть, если вы купите у своего
> провайдера белый IP-адрес, то вам не нужны самоподписанные сертификаты,
> можно использовать Let's Encrypt и разместить RADIUS-сервер на VPS. 

Вот тут добавлю, Let's Encrypt можно получить для динамического адреса
используя сервис аля dyndns.

Re: LDAP

[Коротаев Руслан]

В сообщении от [Вс 2018-04-15 16:31 +0300]
Артём Н.  пишет:

> 1. Это вносит проблемы с безопасностью.
> 2. "Нормальным людям" пока ещё далеко до этого: где я, и где IPv6?
> 
> Я статью почитал, там какая-то сильно передовая маргинальщина: IPv6,
> новый файрволл, TAYGA и NAS64. Если я с этим сейчас буду разбираться,
> мои проекты встанут на год, и меня проклянут. В текущем варианте, я
> просто хочу "чтобы работало", заниматься исследованиями новых сетевых
> технологий, пока времени нет.

Согласен, у вас выверенная, хорошо аргументированная позиция, здесь не
поспоришь.

> А, в смысле точка ему выдаёт IP?

… ну, да, без IP-адреса интернет работать не может. Я сейчас ещё раз
крепко подумал и решил — у вас действительно самый оптимальный, рабочий
вариант. Он самодостаточен, что-либо менять, только портить.

-- 
Коротаев Руслан
https://blog.kr.pp.ru


smime.p7s
Description: S/MIME cryptographic signature

Re: LDAP

[Артём Н .]

Вот тут пока сложно: с IPv6 я только ознакомился, практически же не
работал с ним.


Это существенно упрощает администрирование, если коротко, то при
использовании IPv6 необходимости в NAT нет, все устройства будут иметь
глобально маршрутизируемые адреса.


1. Это вносит проблемы с безопасностью.
2. "Нормальным людям" пока ещё далеко до этого: где я, и где IPv6?

Я статью почитал, там какая-то сильно передовая маргинальщина: IPv6, новый 
файрволл, TAYGA и NAS64.
Если я с этим сейчас буду разбираться, мои проекты встанут на  год, и меня 
проклянут.
В текущем варианте, я просто хочу "чтобы работало", заниматься исследованиями 
новых сетевых технологий, пока времени нет.


Да, белый IP уже есть, но для того, чтобы отличать VPS нужны доменные
имена.  Я могу использовать динамический DNS и диспетчер на
nginx-proxy.  Однако сейчас я пробрасываю порты.


… если вы своим VPS будете раздавать IPv6-адреса, ничего пробрасывать не
надо, берете любой бесплатный DNS-сервис (например dns.he.net) и
присваиваете им доменные имена. То есть VPS с вашего NAS становятся
доступны всему интернету, также как VPS какого-нибудь Амазона, нужно
только защитить их файрволом.


Ну примерно так я и собираюсь сделать, только на v4.


В смысле?
Любой, знающий IP, считается "прошедшим аутентификацию"?
Не вариант.


Не знающий IP, а получивший IP. Допустим, вы хотите дать своему
знакомому доступ к как каталогу по NFS/FTP. Заводите на RADIUS-сервере
учетную запись вашего знакомого (пароли могут хранится в виде хеша, а не
открытым текстом) и говорите: «Подключайся к точке доступа с именем
HomeShare». Далее он проходит, аутентификацию по сертификату и получает
IP. Всё, с этого IP он напрямую получает доступ, ничего больше не
требуется.


А, в смысле точка ему выдаёт IP?

Re: [RFR] po://apt/po/ru.po

[Lev Lamberov]

Вс 15 апр 2018 @ 14:31 Алексей Шилин :

> Это новая версия перевода, в которой учтены присланные советы и замечания.
>
> Вложены 3 файла: полный файл перевода, изменения относительно оригинала 
> перевода, а также изменения относительно предыдущей версии перевода.

А с Дэйвидом (он настаивает на таком произношении) Калнишкисом (David
Kalnischkies ) удалось связаться по поводу Super
Meep Powers? Я сейчас задал ему вопрос в IRC, но пока он молчит.

#: apt-private/private-cmndline.cc
msgid "This APT has Super Cow Powers."
msgstr "В APT есть коровья СУПЕРСИЛА."

#: apt-private/private-cmndline.cc
msgid "This APT helper has Super Meep Powers."
msgstr "В этой программе есть Super Meep Powers."

Кстати, в случае про Meep речь идёт об APT helper, а не об APT.
Сообщение выводится при запуске /usr/lib/apt/apt-helper. Сам apt-helper
представляет собой служебную программу и не предназначен для запуска
пользователями.

Просмотрел diff'ы. В остальном вроде бы всё в порядке.

Re: LDAP

[Коротаев Руслан]

В сообщении от [Вс 2018-04-15 14:05 +0300]
Артём Н.  пишет:

> Вот тут пока сложно: с IPv6 я только ознакомился, практически же не
> работал с ним.

Это существенно упрощает администрирование, если коротко, то при
использовании IPv6 необходимости в NAT нет, все устройства будут иметь
глобально маршрутизируемые адреса. 

> Да, белый IP уже есть, но для того, чтобы отличать VPS нужны доменные
> имена.  Я могу использовать динамический DNS и диспетчер на
> nginx-proxy.  Однако сейчас я пробрасываю порты.

… если вы своим VPS будете раздавать IPv6-адреса, ничего пробрасывать не
надо, берете любой бесплатный DNS-сервис (например dns.he.net) и
присваиваете им доменные имена. То есть VPS с вашего NAS становятся
доступны всему интернету, также как VPS какого-нибудь Амазона, нужно
только защитить их файрволом.

> В смысле?
> Любой, знающий IP, считается "прошедшим аутентификацию"?
> Не вариант.

Не знающий IP, а получивший IP. Допустим, вы хотите дать своему
знакомому доступ к как каталогу по NFS/FTP. Заводите на RADIUS-сервере
учетную запись вашего знакомого (пароли могут хранится в виде хеша, а не
открытым текстом) и говорите: «Подключайся к точке доступа с именем
HomeShare». Далее он проходит, аутентификацию по сертификату и получает
IP. Всё, с этого IP он напрямую получает доступ, ничего больше не
требуется.

-- 
Коротаев Руслан
https://blog.kr.pp.ru


smime.p7s
Description: S/MIME cryptographic signature

Re: LDAP

[Артём Н .]

On 15.04.2018 12:19, Alexander Gerasiov wrote:

Hello Артём,

On Sat, 14 Apr 2018 23:00:46 +0300
Артём Н.  wrote:


Хочу сделать так, чтобы все сервисы на NAS централизованно получали
данные о пользователях. Решил это реализовать через LDAP.
Почитал. Вроде, теоретически понятно, а практически как-то не очень,
бьюсь с LDAP уже немало. Тут описано не особо подробно и с опечатками
(не slapd.conf, а ldap.conf):
https://wiki.debian.org/LDAP/OpenLDAPSetup

Это не очепятка, читай внимательнее, там сказано, что slapd.conf - это
старый конфиг, теперь всё хранится в slapd.d

ldap.conf используется только ldap-tools


Я читал лог strace, и понял, что /etc/slapd.conf теперь вообще не читается.



- Как настроить его так, чтобы был TLS (в перспективе будет торчать
"наружу") с самоподписанным сертификатом?

По документации.


Легко сказать. Настроил "по документации". Не работает.


- Где хранить .ldif файлы?

Не надо их нигде хранить, ldap хранит всё внутри своей БД.
Для управления пользователями можно использовать, например обертку
вроде ldapscripts


Уже разобрался: я их просто загружаю в базу LDAP.


- Лучше запускать LDAP сервер в контейнере или устанавливать в
систему?

Удобнее, если в контейнере, конечно.


Уже перенёс: теперь в контейнере (osixia/openldap:1.2.0).


Рекомендую еще вот этот мануал, не знаю как сейчас, но раньше он был
гораздо лучшее написан, чем debian wiki:
https://help.ubuntu.com/lts/serverguide/openldap-server.html


Спасибо. Читаю.

Re: LDAP

[Артём Н .]

Если возможностей RADIUS-сервера будет не достаточно, то можно
прикрутить к нему LDAP, но это скорее для крупных компаний, для дома это
лишнее.

[1]: https://blog.kr.pp.ru/post/2017-12-12/



Кое-как настроил LDAP локльно: это чудовище просто какое-то. Задолбался 
подключать к нему gitlab.
Переделал всё на контейнеры, пока не работает TLS.

Re: LDAP

[Артём Н .]

On 15.04.2018 12:05, Коротаев Руслан wrote:

В сообщении от [Сб 2018-04-14 23:00 +0300]
Артём Н.  пишет:


Хочу сделать так, чтобы все сервисы на NAS централизованно получали
данные о пользователях. Решил это реализовать через LDAP. Почитал.
Вроде, теоретически понятно, а практически как-то не очень, бьюсь с
LDAP уже немало.

- Оправданно ли вообще использование LDAP в таком случае?


Рекомендую RADIUS (FreeRADIUS есть в репозитории).

Смотрел его, и так понял, что он мне не нужен.


Вы очень мало
написали о сути проблемы, поэтому поделюсь своим решением, возможно оно
и вам поможет.


Фактически, писать тут особо нечего.

Есть n сервисов, поддерживающих LDAP из коробки, и m пользователей, которые 
хотят пользоваться
частью сервисов и, возможно, иметь личный каталог в ФС.
Надо это реализовать.
Логично, что управлять пользователями надо централизованно.

Задача дальнего будущего - на внешних машинках авторизоваться с LDAP сервера, 
который крутится в NAS.


Проблема: дома есть NAS, на котором крутятся сервисы раздачи файлов и
мультимедиа по разным протоколам. Для себя и домашних проблем нет,
подключаемся и получаем к ним доступ. Но что если пришли гости и просят
WiFi, вряд ли вы хотите чтобы они увидели что-то вроде «Жесть. Отжигаю в
Турции».

Очевидное решение: сделать на роутере два VLAN — домашний и гостевой, и
защитить паролем. Однако, пароля будет недостаточно, когда вас не будет
дома, бабушка наверняка их перепутает. Поэтому нужен RADIUS, он есть
даже в самом дешевом китайском роутере.


Схема сложновата.
В моём случае, NAS - вещь в себе.
Я могу всё поднять на нём.


- Как настроить его так, чтобы был TLS (в перспективе будет торчать
"наружу") с самоподписанным сертификатом?


Да, аутентификация по сертификату есть, если вы купите у своего
провайдера белый IP-адрес, то вам не нужны самоподписанные сертификаты,
можно использовать Let's Encrypt и разместить RADIUS-сервер на VPS.


Да, белый IP уже есть, но для того, чтобы отличать VPS нужны доменные имена.
Я могу использовать динамический DNS и диспетчер на nginx-proxy.
Однако сейчас я пробрасываю порты.


Имея белый IP-адрес, вы можете подключить IPv6, например через NAT64
[1]. Вы уже не будете ограничены домашней сетью и сможете давать доступ
к своим сервисам на различных VPS исходя из IPv6-адреса.


Вот тут пока сложно: с IPv6 я только ознакомился, практически же не работал с 
ним.


В общем политика безопасности очень простая — получил IP-адрес (любой
IPv4 и/или IPv6), значит прошел аутентификацию и можно давать доступ,
дальше всё реализуем через файрвол.


В смысле?
Любой, знающий IP, считается "прошедшим аутентификацию"?
Не вариант.


Если возможностей RADIUS-сервера будет не достаточно, то можно
прикрутить к нему LDAP, но это скорее для крупных компаний, для дома это
лишнее.

[1]: https://blog.kr.pp.ru/post/2017-12-12/


Я бы с удовольствием не парился с LDAP, но его поддерживают gitlab, OMV, 
urbackup, etc.

Re: LDAP

[Alexander Gerasiov]

Hello Артём,

On Sat, 14 Apr 2018 23:00:46 +0300
Артём Н.  wrote:

> Хочу сделать так, чтобы все сервисы на NAS централизованно получали
> данные о пользователях. Решил это реализовать через LDAP.
> Почитал. Вроде, теоретически понятно, а практически как-то не очень,
> бьюсь с LDAP уже немало. Тут описано не особо подробно и с опечатками
> (не slapd.conf, а ldap.conf):
> https://wiki.debian.org/LDAP/OpenLDAPSetup
Это не очепятка, читай внимательнее, там сказано, что slapd.conf - это
старый конфиг, теперь всё хранится в slapd.d

ldap.conf используется только ldap-tools

> 
> Может кто-нибудь объяснить (по шагам):
> 
> - Оправданно ли вообще использование LDAP в таком случае?
Почему бы и нет.

> - Как настроить его так, чтобы был TLS (в перспективе будет торчать
> "наружу") с самоподписанным сертификатом?
По документации.

> - Где хранить .ldif файлы?
Не надо их нигде хранить, ldap хранит всё внутри своей БД.
Для управления пользователями можно использовать, например обертку
вроде ldapscripts

> - Нужно ли делать /etc/ldap/ldap.conf или, как в руководстве, нужно
> "add attributes to cn=config"?
Как в руководстве.

> - Лучше запускать LDAP сервер в контейнере или устанавливать в
> систему?
Удобнее, если в контейнере, конечно.


Рекомендую еще вот этот мануал, не знаю как сейчас, но раньше он был
гораздо лучшее написан, чем debian wiki:
https://help.ubuntu.com/lts/serverguide/openldap-server.html

-- 
Best regards,
 Alexander Gerasiov

 Contacts:
 e-mail: g...@cs.msu.su  WWW: http://gerasiov.net  TG/Skype: gerasiov
 PGP fingerprint: 04B5 9D90 DF7C C2AB CD49  BAEA CA87 E9E8 2AAC 33F1


pgpNXcLtIF0LE.pgp
Description: OpenPGP digital signature

Re: LDAP

[Коротаев Руслан]

В сообщении от [Сб 2018-04-14 23:00 +0300]
Артём Н.  пишет:

> Хочу сделать так, чтобы все сервисы на NAS централизованно получали
> данные о пользователях. Решил это реализовать через LDAP. Почитал.
> Вроде, теоретически понятно, а практически как-то не очень, бьюсь с
> LDAP уже немало.
> 
> - Оправданно ли вообще использование LDAP в таком случае?

Рекомендую RADIUS (FreeRADIUS есть в репозитории). Вы очень мало
написали о сути проблемы, поэтому поделюсь своим решением, возможно оно
и вам поможет. 

Проблема: дома есть NAS, на котором крутятся сервисы раздачи файлов и
мультимедиа по разным протоколам. Для себя и домашних проблем нет,
подключаемся и получаем к ним доступ. Но что если пришли гости и просят
WiFi, вряд ли вы хотите чтобы они увидели что-то вроде «Жесть. Отжигаю в
Турции».

Очевидное решение: сделать на роутере два VLAN — домашний и гостевой, и
защитить паролем. Однако, пароля будет недостаточно, когда вас не будет
дома, бабушка наверняка их перепутает. Поэтому нужен RADIUS, он есть
даже в самом дешевом китайском роутере.

> - Как настроить его так, чтобы был TLS (в перспективе будет торчать
> "наружу") с самоподписанным сертификатом?

Да, аутентификация по сертификату есть, если вы купите у своего
провайдера белый IP-адрес, то вам не нужны самоподписанные сертификаты,
можно использовать Let's Encrypt и разместить RADIUS-сервер на VPS. 

Имея белый IP-адрес, вы можете подключить IPv6, например через NAT64
[1]. Вы уже не будете ограничены домашней сетью и сможете давать доступ
к своим сервисам на различных VPS исходя из IPv6-адреса. 

В общем политика безопасности очень простая — получил IP-адрес (любой
IPv4 и/или IPv6), значит прошел аутентификацию и можно давать доступ,
дальше всё реализуем через файрвол.

Если возможностей RADIUS-сервера будет не достаточно, то можно
прикрутить к нему LDAP, но это скорее для крупных компаний, для дома это
лишнее.

[1]: https://blog.kr.pp.ru/post/2017-12-12/

-- 
Коротаев Руслан
https://blog.kr.pp.ru


smime.p7s
Description: S/MIME cryptographic signature