linux – 如何防止用户在OpenVPN中共享证书?

前端之家收集整理的这篇文章主要介绍了linux – 如何防止用户在OpenVPN中共享证书?前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。
我有一个使用证书和LDAP身份验证的OpenVPN服务器.

问题是,一个用户可以共享他的证书,其他有效的LDAP用户可以使用此证书.

如何确保Bob的证书只能与LDAP用户“bob”一起使用?

解决方法

根据 this post,common_name不能被用户伪造.

将其添加到openvpn server.conf中

script-security 2

# untrusted state
auth-user-pass-verify /etc/openvpn/scripts/check_cn_on_connect.sh via-env

/etc/openvpn/scripts/check_cn_on_connect.sh包含

#!/bin/bash

# username and common_name must be the same to allow access.
# users are not allowed to share their cert
if [ $username != $common_name ]; then
   echo "$(date +%Y%m%d-%H%M%S) DENIED  username=$username cert=$common_name" >> /var/log/openvpn-access.log
   exit 1
fi

echo "$(date +%Y%m%d-%H%M%S) GRANTED username=$username cert=$common_name" >> /var/log/openvpn-access.log

exit 0

更新

这适用于OpenVPN 2.1.4.在2.2.0中,他们添加了许多新变量,您可以通过env>>看到这些变量. / tmp / env,其中一个新变量是证书指纹/序列号.

猜你在找的Linux相关文章