Strona 1 z 1
OpenVPN, certyfikat przypisany do określonego komputera
: 28 grudnia 2011, 01:15
autor: galgans
Witam.
Mam pytanie, zainstalowałem skonfigurowałem openvpn, wystawiłem certyfikaty, wszystko działa pięknie. Jestem zadowolony, ale certyfikaty, które umieszczam na mobilnym komputerze (Windows XP) można skopiować i przekazać innemu użytkownikowi i następnemu itd.
Wszystkie komputery z tym samym certyfikatem łączą się do sieci bez żadnych problemów. Czy to jest normalne? Jeżeli tak, czy ma ktoś pomysł jak zrobić aby certyfikatów niemożna było kopiować.
Chciałbym aby certyfikat wystawiony dla jednego komputera był tylko dla niego. Myślałem o kartach chipowych, ale może czegoś nie wiem.
Proszę o pomoc.
: 28 grudnia 2011, 18:46
autor: Unit
To może lepiej jeden certyfikat dla wszystkich (mogą kopiować dowoli) + login i hasło.
: 29 grudnia 2011, 09:44
autor: galgans
A coś więcej na temat login+hasło.
To jest dodatkowe zabezpieczenie certyfikatu, bo przyznam się nie bardzo wiem o co chodzi.
Proszę o instrukcje jak dla zielonego.
: 29 grudnia 2011, 12:08
autor: Unit
Np. połączenie OpenVPN z LDAP-em. Certyfikat możesz wygenerować bez hasła, ale przy próbie połączenia za pomocą tego certyfikatu użytkownicy będą pytani o swój login i hasło - co jednoznacznie identyfikuje użytkownika, a nie maszynę.
: 30 grudnia 2011, 13:22
autor: galgans
LDAP to chyba coś jak Active Directory czyli praca w domenie a to raczej się nie uda. Chyba że źle zrozumiałem ale wydaje mi się że chodzi ci o to aby użytkownicy podłączali się do serwera domeny za pomocą login+hasło i dopiero otrzymywali klucz certyfikat?
: 30 grudnia 2011, 13:31
autor: Unit
LDAP jako baza użytkowników (loginy i hasła) - nie jako kontroler domeny.
Wszyscy użytkownicy mają ten sam certyfikat i jak sie będą logować np przez openvpn gui będą musieli podać login i hasło z LDAP-a.
Jeżeli nie chcesz się pakować w ldap-a możesz trzymać użytkowników w mysql-u albo z pam.d - nie testowałem tych rozwiązań.
: 30 grudnia 2011, 22:30
autor: galgans
No to jest chyba to o co mi chodzi. Będę próbował coś tam kombinować. Gdyby jednak mi się nie udało będę chciał poprosić ciebie o pomoc, oczywiście nie za dziękuje, wazie czego odezwę się.
: 02 stycznia 2012, 14:56
autor: markossx
Możesz również założyć hasło na certyfikat dla każdego jak już było wyżej wspomniane a w konfiguracji serwera dać udokumentowaną opcję:
Uncomment this directive if multiple clients
# might connect with the same certificate/key
# files or common names. This is recommended
# only for testing purposes. For production use,
# each client should have its own certificate/key
# pair.
#
# IF YOU HAVE NOT GENERATED INDIVIDUAL
# CERTIFICATE/KEY PAIRS FOR EACH CLIENT,
# EACH HAVING ITS OWN UNIQUE "COMMON NAME",
# UNCOMMENT THIS LINE OUT.
;duplicate-cn
.