OpenVPN: Login der Benutzer mit dem passenden Zertifikat
Hallo,
derzeit sieht mein OpenVPN-Setup so aus, dass der Nutzer ein Zertifikat vorweisen muss und sich zusätzlich mit seinem Benutzernamen und Passwort am PAM (Debian) identifizieren muss.
Allerdings ist es möglich das Zertifikat auf den Namen "lennart" mit dem PAM-Benutzer "paul" zu verwenden.
Gibt es hier eine Möglichkeit das einzuschränken?
Auch habe ich bisher keine Möglichkeit gefunden hier nur Benutzer einer bestimmten Gruppe zuzulassen, "openvpnusers" zum Beispiel. Muss das über PAM erfolgen oder in der Konfig?
Ich verwende keinen OpenVPN Access Server, sondern folgende server-conf:
Meine PAM-Config für OpenVPN sieht dann so aus:
derzeit sieht mein OpenVPN-Setup so aus, dass der Nutzer ein Zertifikat vorweisen muss und sich zusätzlich mit seinem Benutzernamen und Passwort am PAM (Debian) identifizieren muss.
Allerdings ist es möglich das Zertifikat auf den Namen "lennart" mit dem PAM-Benutzer "paul" zu verwenden.
Gibt es hier eine Möglichkeit das einzuschränken?
Auch habe ich bisher keine Möglichkeit gefunden hier nur Benutzer einer bestimmten Gruppe zuzulassen, "openvpnusers" zum Beispiel. Muss das über PAM erfolgen oder in der Konfig?
Ich verwende keinen OpenVPN Access Server, sondern folgende server-conf:
port ...
proto udp
dev ...
ca ...ca.crt
cert...vpn.crt
key ...vpn.key
dh ...dh-ovpn.pem
server ...
ifconfig-pool-persist ...openvpn-ipp.txt
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS ...
push "dhcp-option DNS ...
topology subnet
**plugin /usr/lib/openvpn/openvpn-plugin-auth-pam.so openvpn**
client-to-client
duplicate-cn
keepalive 10 120
cipher ...
auth ...
tls-version-min 1.2
persist-key
persist-tun
explicit-exit-notify 1
Meine PAM-Config für OpenVPN sieht dann so aus:
auth required pam_unix.so shadow nodelay
account required pam_unix.so
Please also mark the comments that contributed to the solution of the article
Content-Key: 379286
Url: https://administrator.de/contentid/379286
Printed on: April 18, 2024 at 03:04 o'clock
11 Comments
Latest comment
Allerdings ist es möglich das Zertifikat auf den Namen "lennart" mit dem PAM-Benutzer "paul" zu verwenden.
Hast du es versäumt User spezifische Zertifikate zu erzeugen ?? Normalerweise ist sowas unmöglich mit User Zertifikaten.Das ist ja gerade der Witz bei User basierten Zertifikaten das die Nutzer spezifisch sind.
Ansonsten wären sie ja überflüssig, dann kannst du 1 Zertifikat nehmen und das auf 100 User kopieren und gut ist.
Das würde ja das gesamte Prinzip von Zertifikaten völlig konterkarieren. Leuchtet dir sicher auch ein.
Hi Binary,
in deiner conf ist das duplicate-cn einkommentiert dieses raus nehmen oder auskommentieren dann werden auch die einzelnen Zertifikate geprüft.
Siehe:
Grüße
in deiner conf ist das duplicate-cn einkommentiert dieses raus nehmen oder auskommentieren dann werden auch die einzelnen Zertifikate geprüft.
Siehe:
# Uncomment this directive if multiple clients
# might connect with the same certificate/key
# files or common names. This is recommended
# only for testing purposes. For production use,
# each client should have its own certificate/key
# pair.
#
# IF YOU HAVE NOT GENERATED INDIVIDUAL
# CERTIFICATE/KEY PAIRS FOR EACH CLIENT,
# EACH HAVING ITS OWN UNIQUE "COMMON NAME", # UNCOMMENT THIS LINE OUT.
;duplicate-cn
Grüße
Ich hatte mal OpenVPN als Paket für pfSense laufen und da verhielt es sich genauso. Kann es leider nicht nachstellen da ich keinen Zugriff mehr auf das System habe.
Aber: vielleicht kannst du über ein selbstgebautes client-connect skript
https://community.openvpn.net/openvpn/wiki/Concepts-Authentication
einen abgleich zwischen cert und usernamen einbauen
edit:
sowas:
https://serverfault.com/questions/358855/how-to-prevent-users-from-shari ...
Aber: vielleicht kannst du über ein selbstgebautes client-connect skript
https://community.openvpn.net/openvpn/wiki/Concepts-Authentication
einen abgleich zwischen cert und usernamen einbauen
edit:
sowas:
https://serverfault.com/questions/358855/how-to-prevent-users-from-shari ...
Ungewöhnlich auch das man sich an einen Unix Host nochmal authentisieren muss. Normal sollte man die Netzwerk Infrastruktur immer von sowas entkoppeln. Dazu gehören auch VPNs.
Wenn man auf der pfSense OVPN User Zertifikate mit Passwort Schutz einsetzt dann gibt es keinerlei Cross Login mit anderen Usern. Wenn dem so wäre würde es das gesamte Prinzip ja auch völlig konterkarieren wie schon gesagt.
Wenn man auf der pfSense OVPN User Zertifikate mit Passwort Schutz einsetzt dann gibt es keinerlei Cross Login mit anderen Usern. Wenn dem so wäre würde es das gesamte Prinzip ja auch völlig konterkarieren wie schon gesagt.