OpenVPN

Riccardo Torrini riccardo a torrini.org
Mar 7 Apr 2009 18:00:22 CEST


Sottotitolo: gli utenti sono sempre un passo avanti  :-(

Sto sostituendo mpd con openvpn, va tutto benissimo, compresa
l'autenticazione su AD, certificati personali, nani e ballerine,
ma ... ho trovato due furbini che hanno provato ad usare lo
stesso certificato (con due login diverse, entrambe valide ed
entrambe nel gruppo giusto).  Tra l'altro il certificato e`
stato emesso per entrambi quindi non hanno nessun motivo valido
per usare lo stesso.  Ma in fondo in fondo sono utenti  =)

Fortunatamente l'IP e` assegnato staticamente in base al nome
del certificato e non a quello usato per controllare su AD per
cui mi sono trovato nel log 6-mille(!) righe di errore...

Come faccio a controllare che il CN e il login siano coerenti?
Speravo lo facesse da solo ma non ho trovato nulla (per ora).

-----8<-----
Tue Apr  7 11:23:11 2009 212.125.143.9:56121 CRL CHECK OK: \
	... CN=user_one/emailAddress=one.user at here.local
Tue Apr  7 11:23:11 2009 212.125.143.9:56121 VERIFY OK: \
	... CN=user_one/emailAddress=one.user at here.local
Tue Apr  7 11:23:12 2009 212.125.143.9:56121 TLS: Username/Password \
	authentication succeeded for username 'another.one' 
-----8<-----

L'autenticazione e` fatta con:
# LDAP-AD auth relay
plugin /usr/local/lib/openvpn-auth-ldap.so \
	"/usr/local/etc/openvpn/openvpn-auth-ldap.conf"

che a sua volta ha tutti i parametri per fare la query su AD,
controllare l'appartenenza ad un gruppo e verificare la password.


-- 
Riccardo. ( http://www.GUFI.org/~vic/ )


Maggiori informazioni sulla lista Esperti