OpenVPN

Massimo Lusetti mlusetti a gmail.com
Mer 8 Apr 2009 10:49:23 CEST


2009/4/7 Riccardo Torrini <riccardo a torrini.org>:

> Sottotitolo: gli utenti sono sempre un passo avanti  :-(
>
> Sto sostituendo mpd con openvpn, va tutto benissimo, compresa
> l'autenticazione su AD, certificati personali, nani e ballerine,
> ma ... ho trovato due furbini che hanno provato ad usare lo
> stesso certificato (con due login diverse, entrambe valide ed
> entrambe nel gruppo giusto).  Tra l'altro il certificato e`
> stato emesso per entrambi quindi non hanno nessun motivo valido
> per usare lo stesso.  Ma in fondo in fondo sono utenti  =)
>
> Fortunatamente l'IP e` assegnato staticamente in base al nome
> del certificato e non a quello usato per controllare su AD per
> cui mi sono trovato nel log 6-mille(!) righe di errore...
>
> Come faccio a controllare che il CN e il login siano coerenti?
> Speravo lo facesse da solo ma non ho trovato nulla (per ora).
>
> -----8<-----
> Tue Apr  7 11:23:11 2009 212.125.143.9:56121 CRL CHECK OK: \
>        ... CN=user_one/emailAddress=one.user a here.local
> Tue Apr  7 11:23:11 2009 212.125.143.9:56121 VERIFY OK: \
>        ... CN=user_one/emailAddress=one.user a here.local
> Tue Apr  7 11:23:12 2009 212.125.143.9:56121 TLS: Username/Password \
>        authentication succeeded for username 'another.one'
> -----8<-----
>
> L'autenticazione e` fatta con:
> # LDAP-AD auth relay
> plugin /usr/local/lib/openvpn-auth-ldap.so \
>        "/usr/local/etc/openvpn/openvpn-auth-ldap.conf"
>
> che a sua volta ha tutti i parametri per fare la query su AD,
> controllare l'appartenenza ad un gruppo e verificare la password.

Non usi il CN per fare il login? (Dico sul tuo LDAP) ...

Tipo: CN con parte fissa e nome (user id) variabile cosi` puoi
metterlo come filtro
per la query LDAP ...

BTW Quel plugin funziona bene su FreeBSD? ...

For the records: Su OpenBSD openvpn e` compilato con
--disable-pthreads perche` le pthread su openbsd "is supposed to be
unstable" ma il plugin le vuole quindi ho dovuto modificare il port e
ricompilare, il tutto funziona bene finche` non si pianta e il
piantamento e` random... quindi sto dando la colpa alle pthread di
openbsd e sto pensando di migrare a bsdauth e login_ldap (sempre su
openbsd)

A presto.
-- 
Massimo
http://meridio.blogspot.com


Maggiori informazioni sulla lista Esperti