cthluhu
Goto Top

OpenVPN Client-Zeritifkat an Rechner binden und Benutzerabfrage bei Verbindungsaufbau

Hallo

Ich habe OpenVPN-Server aufgesetzt, der mit Zertifiakten die Verbindungen der Clients überprüft.
Jeder, der sich mit dem Server verbinden kann verfügt über seine entsprechenden *.crt und *.key Dateien. Das Problem ist, dass diese von den Usern theoretisch auf einen beliebigen Rechner kopiert werden könnten und sie sich mit diesem neuen Rechner mit dem VPN Server verbinden könnten. Da keine Passwortabfrage beim Verbindungsaufbau erfolgt, könnte somit durch Weitergabe der *.crt und *.key Dateien (und der client.conf) seitens der User plötzlich jeder von jedem beliebigen Rechner aus zum VPN Server eine Verbindung eingehen.

Gibt es da eine Möglichkeit, die Zertifikate an einen bestimmten Rechner zu binden? Ich denke da an MAC-Adresse (ich weiß kann man auch ändern) oder CPU-ID.

Gibt es weiters eine Möglichkeit, dass bei Verbindungsaufbau eine Benutzername/Passwort Abfrage gemacht wird, die mit der Benutzerliste des Domänencontrollers verbunden ist und somit nur mehr User eine VPN-Verbindung eingehen dürfen, die die entsprechende Berechtigung besitzen?

lg Cthluhu

Content-Key: 68922

Url: https://administrator.de/contentid/68922

Printed on: May 24, 2024 at 10:05 o'clock

Member: Cthluhu
Cthluhu Sep 24, 2007, updated at Oct 18, 2012 at 16:32:29 (UTC)
Goto Top
Mittlerweile habe ich die Einstellmöglichkeite für OpenVPN mit Passwortabfrage gefunden.
Dazu muss selber ein Skript geschrieben werden, das die Benutzer und Passwörte mit einer Gegenstelle (Passwortliste, Datenbank,...) überprüft und bei Erfolg 0, bei Misserfolg 1 zurückgibt.

Mein Idee: Ich erstelle an der Domäne (noch NT4, bald Win2003 mit AD) eine Gruppe und als Mitglieder trage ich entsprechenden Mitarbeiter ein, die die VPN-Verbindung nutzen drüfen.

Als Authentifizierungsmöglichkeit wird hier im Forum ein Netzlaufwerk verwendet:
Benutzername und Passwort in eigenem Script überprüfen
Das dürfte zwar funktionieren, aber extra eine Dummyfreigabe zu machen und diese sogar als Laufwerk zu mounten scheint mir doch nicht so elegant.

Die lokalen User und Gruppen kann ich mit "net user" oder mit "net group" überprüfen.
Gibt es eine ähnliche Möglichkeit per Skript Usernamen und Passwort und Gruppenzugehörigkeit der Domänenbenutzer zu überprüfen?