OpenVPN, certyfikat przypisany do okre

galgans · Post autor: **galgans** » 28 grudnia 2011, 01:15

Witam.
Mam pytanie, zainstalowałem skonfigurowałem openvpn, wystawiłem certyfikaty, wszystko działa pięknie. Jestem zadowolony, ale certyfikaty, które umieszczam na mobilnym komputerze (Windows XP) można skopiować i przekazać innemu użytkownikowi i następnemu itd.

Wszystkie komputery z tym samym certyfikatem łączą się do sieci bez żadnych problemów. Czy to jest normalne? Jeżeli tak, czy ma ktoś pomysł jak zrobić aby certyfikatów niemożna było kopiować.

Chciałbym aby certyfikat wystawiony dla jednego komputera był tylko dla niego. Myślałem o kartach chipowych, ale może czegoś nie wiem.

Proszę o pomoc.

Unit · Post autor: **Unit** » 28 grudnia 2011, 18:46

To może lepiej jeden certyfikat dla wszystkich (mogą kopiować dowoli) + login i hasło.

galgans · Post autor: **galgans** » 29 grudnia 2011, 09:44

A coś więcej na temat login+hasło.
To jest dodatkowe zabezpieczenie certyfikatu, bo przyznam się nie bardzo wiem o co chodzi.
Proszę o instrukcje jak dla zielonego.

Unit · Post autor: **Unit** » 29 grudnia 2011, 12:08

Np. połączenie OpenVPN z LDAP-em. Certyfikat możesz wygenerować bez hasła, ale przy próbie połączenia za pomocą tego certyfikatu użytkownicy będą pytani o swój login i hasło - co jednoznacznie identyfikuje użytkownika, a nie maszynę.

galgans · Post autor: **galgans** » 30 grudnia 2011, 13:22

LDAP to chyba coś jak Active Directory czyli praca w domenie a to raczej się nie uda. Chyba że źle zrozumiałem ale wydaje mi się że chodzi ci o to aby użytkownicy podłączali się do serwera domeny za pomocą login+hasło i dopiero otrzymywali klucz certyfikat?

Unit · Post autor: **Unit** » 30 grudnia 2011, 13:31

LDAP jako baza użytkowników (loginy i hasła) - nie jako kontroler domeny.
Wszyscy użytkownicy mają ten sam certyfikat i jak sie będą logować np przez openvpn gui będą musieli podać login i hasło z LDAP-a.
Jeżeli nie chcesz się pakować w ldap-a możesz trzymać użytkowników w mysql-u albo z pam.d - nie testowałem tych rozwiązań.

galgans · Post autor: **galgans** » 30 grudnia 2011, 22:30

No to jest chyba to o co mi chodzi. Będę próbował coś tam kombinować. Gdyby jednak mi się nie udało będę chciał poprosić ciebie o pomoc, oczywiście nie za dziękuje, wazie czego odezwę się.

markossx · Post autor: **markossx** » 02 stycznia 2012, 14:56

Możesz również założyć hasło na certyfikat dla każdego jak już było wyżej wspomniane a w konfiguracji serwera dać udokumentowaną opcję:

Uncomment this directive if multiple clients
# might connect with the same certificate/key
# files or common names. This is recommended
# only for testing purposes. For production use,
# each client should have its own certificate/key
# pair.
#
# IF YOU HAVE NOT GENERATED INDIVIDUAL
# CERTIFICATE/KEY PAIRS FOR EACH CLIENT,
# EACH HAVING ITS OWN UNIQUE "COMMON NAME",
# UNCOMMENT THIS LINE OUT.
;duplicate-cn

.

OpenVPN, certyfikat przypisany do okre

OpenVPN, certyfikat przypisany do określonego komputera