Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

OPENVPN mit Radius-LDAP über Zertifikate

Mitglied: darkshark

darkshark (Level 1) - Jetzt verbinden

04.12.2007, aktualisiert 15.01.2008, 9389 Aufrufe, 3 Kommentare

Huhu,


sitze nun schon etwas länger daran mich etwas in das Thema OPENVPN einzuarbeiten. Für die Authenifizierung kann ich bisher normale Logins benutzen, welche über das PAM Modul via MD5-Hash den Radius kontaktieren und der wiederrum den LDAP fragt, ob der jeweilige Nutzer berechtigt ist die VPN Verbindung zu nutzen.

Der nächste Schritt, den ich benötige wäre die Authentifizierung über ein Zertifikat, welches auf dem LDAP Server hinterlegt ist. Allerdings habe ich bisher keinen Anhaltspunkt gefunden wie ich weiter vorgehen soll.
Solange die Authenifizierung über das Zertifikat direkt am OPENVPN Server stattfindet gibt es keinerlei Probleme - aber wie bekomme ich es hin, dass das Zertifikat nur am LDAP direkt überprüft wird und nicht am openvpn Server???


Habe leider noch nichts dazu gefunden


Anbei meine Server-Konfig und - falls diese überhaupt benötigt wird - die PAM Konfig:



Server.conf
local 192.168.150.162
port 1194
proto udp
dev tun
ca ca.crt
cert /etc/openvpn/radius.crt
key /etc/openvpn/radius.key # This file should be kept secret
dh dh1024.pem
server 10.8.31.0 255.255.255.0
push "route 192.168.31.0 255.255.255.0"
client-to-client
keepalive 10 120
cipher BF-CBC # Blowfish (default)
comp-lzo
user nobody
group nobody
persist-key
persist-tun
status openvpn-status.log
log openvpn.log
verb 6
mute 20
plugin /lib/security/openvpn-auth-pam.so radius
  1. username-as-common-name




PAM-Config
account required /lib/security/pam_radius_auth.so
auth required /lib/security/pam_radius_auth.so
account required /lib/security/pam_radius.so




Kurzfassung:
Authenifizierung am LDAP funktioniert mit Login/PW Eingabe, allerdings schaffe ich es nicht direkt das Zertifikat am LDAP gegenprüfen zu lassen. Bisher klappt es nur, wenn der OPENVPN Server das Zertifikat überprüft.




Für Hilfe oder Tips wäre ich dankbar :/
Mitglied: darkshark
04.12.2007 um 17:10 Uhr
Ergänzung: zwischen dem ldap und dem openvpn server haengt noch der radius server über den die Anfrage laeuft - hatte ich vergessen zu erwähnen... das radius plugin ist auch installiert aber scheint auch keine zertifikatbasierende Überprüfung zu unterstützen
Bitte warten ..
Mitglied: darkshark
18.12.2007 um 12:42 Uhr
So nach langem hin und her habe ich soweit festgestellt, dass es nicht möglich ist (bitte korrgiert mich, wenn ich hier falsch liege - würde mich freuen), dass Zertifikat am Radius/LDAP gegenprüfen lassen und es dort verwaltet wird (gesperrt / gültig).

Eine Möglichkeit, die ich noch hätte wäre über den openvpn server den common name und vll. noch etwas mehr aus dem Zertifikat auszulesen und am radius/ldap prüfen zu lassen über ein skript. Leider hab ich keine AHnung, wie dieses aufgebaut werden sollte damit es das Zertifikat am Radius überprüft... dabei haben mir die man pages auch nichts gebracht.

Anbei ein Auszug aus den man pages... vll. kann mir da ja jemand helfen oder nen Ansatz geben.

Danke!!!

Gruß
darkshark





--tls-verify cmd
Execute shell command cmd to verify the X509 name of a pending TLS connection that has otherwise passed all other tests of certification (except for revocation via --crl-verify directive; the revocation test occurs after the --tls-verify test).

cmd should return 0 to allow the TLS handshake to proceed, or 1 to fail. cmd is executed as

cmd certificate_depth X509_NAME_oneline

This feature is useful if the peer you want to trust has a certificate which was signed by a certificate authority who also signed many other certificates, where you don't necessarily want to trust all of them, but rather be selective about which peer certificate you will accept. This feature allows you to write a script which will test the X509 name on a certificate and decide whether or not it should be accepted. For a simple perl script which will test the common name field on the certificate, see the file verify-cn in the OpenVPN distribution.

See the "Environmental Variables" section below for additional parameters passed as environmental variables.



Beispielskript:
Bitte warten ..
Mitglied: snake88
15.01.2008 um 11:57 Uhr
Ich befasse mich zurzeit wegen einem Projekt auch mit OpenVPN allerdings habe ich es noch nicht geschafft eine authentifizierung über radius laufen zu lassen...
es wäre super wenn du deinen Ansatz über ldap und radius als kleine anleitung posten könntest

mfg

snake88
Bitte warten ..
Ähnliche Inhalte
Netzwerke
RADIUS + LDAP + HotSpot
Frage von MuellerLukasNetzwerke1 Kommentar

Hallo zusammen, ich zerbreche mir hier gerade leider wirklich das Hirn. Ich habe mein kleines Büro bei mir im ...

LAN, WAN, Wireless

Unifi radius zertifikat "unsicher"

gelöst Frage von retodellatorreLAN, WAN, Wireless9 Kommentare

hallo zusammen ich habe einen radius auf server 2021r2 und brauche den zum wlan authentifizierung der AD Benutzer. die ...

Windows Server

Radius Zertifikat über eigene Vorlage

gelöst Frage von Alucard911Windows Server1 Kommentar

Hallo zusammen, ich habe ein funktionierendes Radius WLAN konfiguriert, jedoch das Problem das ich nur Zertifikate aus der Standardvorlage ...

Verschlüsselung & Zertifikate

Merkwürdige Radius-Zertifikate

Frage von mrserious73Verschlüsselung & Zertifikate1 Kommentar

Hallo, habe hier noch ältere WLAN-Zertifikate für Radius von meinem Vorgänger. Was mich irritiert: Das CA-Zertifikat selbst läuft bald ...

Neue Wissensbeiträge
Multimedia & Zubehör
AVM Fritz USB WLAN Sticks schneller einschalten
Tipp von NetzwerkDude vor 1 TagMultimedia & Zubehör

Die AVM Fritz WLAN Sticks haben in der Firmware 2 Modis: Einmal als Massenspeicher und einmal als WLAN Netzwerkkarte ...

Windows Server

Windows Server Backup schlögt Fehl -Lösung 2008-2016

Tipp von BiGnoob vor 1 TagWindows Server

Hi zusammen , ich möchte gerne einen Lösungstipp abgeben für folgenden fehler: lösung ist folgende:

Humor (lol)
Telekom vs. O2 - 3:2
Erfahrungsbericht von the-buccaneer vor 1 TagHumor (lol)4 Kommentare

Unglaublich aber wahr: Nachdem mein privater Anschluss am 19.04.18 auf VOIP und VDSL umgestellt wurde, hatte ich seitdem 1,5 ...

Batch & Shell

Windows 10 Heimnetzgruppe abgeschaft. Ein Script für einfache Netzwerk - Freigabe im Heimnetzwerk

Anleitung von treehe vor 1 TagBatch & Shell3 Kommentare

Anleitung für eine einfache Netzwerkfreigabe unter Windows 10 Wie weiter hab mal ein kleines CMD - Script gebastelt. Womit ...

Heiß diskutierte Inhalte
Windows Tools
Virtueller Drucker gesucht (Schnittstelle: USB oder Seriell)
gelöst Frage von chrisButterflyWindows Tools21 Kommentare

Hi, ich suche einen virtuellen Drucker, den ich über eine USB oder serieller Schnittstelle ansprechen kann. Dieser Drucker soll ...

Windows Server
Windows Server 2012 - Update - Beim Booten bleibt der Server beim Windows Zeichen stehen
Frage von KeilbachWindows Server17 Kommentare

Hallo Zusammen, ich grüße euch, mein Name ist Michele. Ich bin hier ganz Neu - da ich einfach nicht ...

Windows Server
WinServer2016 AD DS
Frage von MaxHannoverWindows Server5 Kommentare

Hallo zusammen, ich habe eine Domäne, in dieser befinden sich mehrere Organisationseinheiten, die Struktur der OU steht also. Nun ...

Voice over IP
Lokales Telefonbuch von Grandstream GXP-2000 herunterladen
Frage von darodeskVoice over IP5 Kommentare

Hallo zusammen, ein Kunde besitzt ein altes Grandstream GXP-2000 Voip-Telefon, was jetzt durch ein neueres Gerät ersetzt wurde. Er ...