OpenVPN

Riccardo Torrini riccardo a torrini.org
Mer 8 Apr 2009 12:46:40 CEST


On Wed, Apr 08, 2009 at 12:29:36PM +0200, Davide D'Amico wrote:

>> Non e` un vero LDAP, e` AD, non so come forzare il nome
>> passato nel CN e quello nel login a venire controllati.
>> Ho trovato solo un %u, magari ci sono altri parametri?

> AD adora moltissimo sAMAccountName (lo uso per l'auth su jabberd).

Il contenuto di quel campo non va bene perche` non e`
normalizzato a nome.cognome (per problemi di lunghezza
e compatibilita` con vecchi win non puoi metterci piu`
di 16 (iirc) char).

Rispiego: il problema non e` l'auth, quella funziona benissimo.
Ma se io emetto un certificato a mario e uno a luigi, entrambi
nominativi (quindi nel CN= avro` il loro nome) e se li metto nel
gruppo AD apposito (diciamo vpn) e controllo l'accesso con quel
plugin ottengo 4 (invece di 2) possibili situazioni:
- cn=mario, ad group=vpn, ad login/password mario/*** = entra
- cn=luigi, ad group=vpn, ad login/password luigi/*** = entra
- cn=mario, ad group=vpn, ad login/password luigi/*** = entra
- cn=luigi, ad group=vpn, ad login/password mario/*** = entra

Io _DEVO_ impedire gli ultimi due casi...
(e` ovvio che se non sei nel gruppo vpn o sbagli la password
o non hai nessun certificato non entri in nessun caso  :-)


-- 
Riccardo. ( http://www.GUFI.org/~vic/ )


Maggiori informazioni sulla lista Esperti