Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

OPENVPN mit Radius-LDAP über Zertifikate

Mitglied: darkshark

darkshark (Level 1) - Jetzt verbinden

04.12.2007, aktualisiert 15.01.2008, 9429 Aufrufe, 3 Kommentare

Huhu,


sitze nun schon etwas länger daran mich etwas in das Thema OPENVPN einzuarbeiten. Für die Authenifizierung kann ich bisher normale Logins benutzen, welche über das PAM Modul via MD5-Hash den Radius kontaktieren und der wiederrum den LDAP fragt, ob der jeweilige Nutzer berechtigt ist die VPN Verbindung zu nutzen.

Der nächste Schritt, den ich benötige wäre die Authentifizierung über ein Zertifikat, welches auf dem LDAP Server hinterlegt ist. Allerdings habe ich bisher keinen Anhaltspunkt gefunden wie ich weiter vorgehen soll.
Solange die Authenifizierung über das Zertifikat direkt am OPENVPN Server stattfindet gibt es keinerlei Probleme - aber wie bekomme ich es hin, dass das Zertifikat nur am LDAP direkt überprüft wird und nicht am openvpn Server???


Habe leider noch nichts dazu gefunden


Anbei meine Server-Konfig und - falls diese überhaupt benötigt wird - die PAM Konfig:



Server.conf
local 192.168.150.162
port 1194
proto udp
dev tun
ca ca.crt
cert /etc/openvpn/radius.crt
key /etc/openvpn/radius.key # This file should be kept secret
dh dh1024.pem
server 10.8.31.0 255.255.255.0
push "route 192.168.31.0 255.255.255.0"
client-to-client
keepalive 10 120
cipher BF-CBC # Blowfish (default)
comp-lzo
user nobody
group nobody
persist-key
persist-tun
status openvpn-status.log
log openvpn.log
verb 6
mute 20
plugin /lib/security/openvpn-auth-pam.so radius
  1. username-as-common-name




PAM-Config
account required /lib/security/pam_radius_auth.so
auth required /lib/security/pam_radius_auth.so
account required /lib/security/pam_radius.so




Kurzfassung:
Authenifizierung am LDAP funktioniert mit Login/PW Eingabe, allerdings schaffe ich es nicht direkt das Zertifikat am LDAP gegenprüfen zu lassen. Bisher klappt es nur, wenn der OPENVPN Server das Zertifikat überprüft.




Für Hilfe oder Tips wäre ich dankbar :/
Mitglied: darkshark
04.12.2007 um 17:10 Uhr
Ergänzung: zwischen dem ldap und dem openvpn server haengt noch der radius server über den die Anfrage laeuft - hatte ich vergessen zu erwähnen... das radius plugin ist auch installiert aber scheint auch keine zertifikatbasierende Überprüfung zu unterstützen
Bitte warten ..
Mitglied: darkshark
18.12.2007 um 12:42 Uhr
So nach langem hin und her habe ich soweit festgestellt, dass es nicht möglich ist (bitte korrgiert mich, wenn ich hier falsch liege - würde mich freuen), dass Zertifikat am Radius/LDAP gegenprüfen lassen und es dort verwaltet wird (gesperrt / gültig).

Eine Möglichkeit, die ich noch hätte wäre über den openvpn server den common name und vll. noch etwas mehr aus dem Zertifikat auszulesen und am radius/ldap prüfen zu lassen über ein skript. Leider hab ich keine AHnung, wie dieses aufgebaut werden sollte damit es das Zertifikat am Radius überprüft... dabei haben mir die man pages auch nichts gebracht.

Anbei ein Auszug aus den man pages... vll. kann mir da ja jemand helfen oder nen Ansatz geben.

Danke!!!

Gruß
darkshark





--tls-verify cmd
Execute shell command cmd to verify the X509 name of a pending TLS connection that has otherwise passed all other tests of certification (except for revocation via --crl-verify directive; the revocation test occurs after the --tls-verify test).

cmd should return 0 to allow the TLS handshake to proceed, or 1 to fail. cmd is executed as

cmd certificate_depth X509_NAME_oneline

This feature is useful if the peer you want to trust has a certificate which was signed by a certificate authority who also signed many other certificates, where you don't necessarily want to trust all of them, but rather be selective about which peer certificate you will accept. This feature allows you to write a script which will test the X509 name on a certificate and decide whether or not it should be accepted. For a simple perl script which will test the common name field on the certificate, see the file verify-cn in the OpenVPN distribution.

See the "Environmental Variables" section below for additional parameters passed as environmental variables.



Beispielskript:
Bitte warten ..
Mitglied: snake88
15.01.2008 um 11:57 Uhr
Ich befasse mich zurzeit wegen einem Projekt auch mit OpenVPN allerdings habe ich es noch nicht geschafft eine authentifizierung über radius laufen zu lassen...
es wäre super wenn du deinen Ansatz über ldap und radius als kleine anleitung posten könntest

mfg

snake88
Bitte warten ..
Ähnliche Inhalte
LAN, WAN, Wireless

Unifi radius zertifikat "unsicher"

gelöst Frage von retodellatorreLAN, WAN, Wireless9 Kommentare

hallo zusammen ich habe einen radius auf server 2021r2 und brauche den zum wlan authentifizierung der AD Benutzer. die ...

Windows Server

Radius Zertifikat über eigene Vorlage

gelöst Frage von Alucard911Windows Server1 Kommentar

Hallo zusammen, ich habe ein funktionierendes Radius WLAN konfiguriert, jedoch das Problem das ich nur Zertifikate aus der Standardvorlage ...

Netzwerkgrundlagen

Zertifikat für RADIUS Authentifizierung per WLAN

Frage von osze90Netzwerkgrundlagen34 Kommentare

Guten Tag Ich habe anhand dieser Anleitung " versucht eine RADIUS basierte Authentifizierung über meinen Access Points zu konfigurieren. ...

Microsoft

LDAP-RADIUS Authentifizierung VPN bei abgelaufenen Kennwort.

Frage von UnbekannterNR1Microsoft8 Kommentare

Hallo, Ich versuche gerade für VPN Nutzer LDAP Authentifizierung zu realisieren über OpenVPN. Funktioniert auch generell ohne Probleme. Wenn ...

Neue Wissensbeiträge
Humor (lol)
Administrator.de Perlen
Tipp von DerWindowsFreak2 vor 2 TagenHumor (lol)3 Kommentare

Hallo, Heute beim stöbern auf dieser Seite bin auf folgenden Thread aus dem Jahre 2006 gestossen: Was meint ihr? ...

Erkennung und -Abwehr
OpenSSH-Backdoor Malware erkennen
Tipp von Frank vor 3 TagenErkennung und -Abwehr

Sicherheitsforscher von Eset haben 21 Malware-Familien untersucht. Die Malware soll Hintertüren via OpenSSH bereitstellen, so dass Angreifer Fernzugriff auf ...

iOS
WatchChat für Whatsapp
Tipp von Criemo vor 6 TageniOS5 Kommentare

Ziemlich coole App für WhatsApp User in Verbindung mit der Apple Watch. Gibts für iOS sowohl als auch für ...

iOS
IOS hat nen Cursor!
Tipp von Criemo vor 6 TageniOS5 Kommentare

Nette Funktion im iOS. iPhone-Mauszeiger aktivieren „Nichts ist nerviger, als bei einem Tippfehler zu versuchen, den iOS-Cursor an die ...

Heiß diskutierte Inhalte
Grafikkarten & Monitore
PCIe 1.0 Grafikkarte für 3840x2160
Frage von Windows10GegnerGrafikkarten & Monitore29 Kommentare

Hallo, mein Vater hat einen neuen Monitor gekauft, welcher eine native Auflösung von 3840*2160 hat. Diese muss jetzt auch ...

Windows Server
Dienstnamen und oder Deutsche und Englische Beschreibung in services.msc gleichzeitig anzeigen
gelöst Frage von vafk18Windows Server22 Kommentare

Guten Morgen, die Suche nach Diensten in services.msc gestaltet sich immer wieder schwierig, weil mir je nach Aufgabe die ...

Windows 10
Windows Enterprise 1809 Eval nicht bootbar
Frage von Sunny89Windows 1022 Kommentare

Hallo zusammen, bevor ich mich jetzt noch stundenlang rumärger wollte ich euch fragen, ob Ihr die gleichen Probleme habt ...

Linux
Info Monitor für eine Schule
gelöst Frage von CAT404Linux13 Kommentare

Moin, ich möchte einen Infomonitor betreiben; derzeit läuft da ein Windows 10 Rechner bei dem Firefox beim Start in ...