Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

OPENVPN mit Radius-LDAP über Zertifikate

Frage Sicherheit Firewall

Mitglied: darkshark

darkshark (Level 1) - Jetzt verbinden

04.12.2007, aktualisiert 15.01.2008, 9348 Aufrufe, 3 Kommentare

Huhu,


sitze nun schon etwas länger daran mich etwas in das Thema OPENVPN einzuarbeiten. Für die Authenifizierung kann ich bisher normale Logins benutzen, welche über das PAM Modul via MD5-Hash den Radius kontaktieren und der wiederrum den LDAP fragt, ob der jeweilige Nutzer berechtigt ist die VPN Verbindung zu nutzen.

Der nächste Schritt, den ich benötige wäre die Authentifizierung über ein Zertifikat, welches auf dem LDAP Server hinterlegt ist. Allerdings habe ich bisher keinen Anhaltspunkt gefunden wie ich weiter vorgehen soll.
Solange die Authenifizierung über das Zertifikat direkt am OPENVPN Server stattfindet gibt es keinerlei Probleme - aber wie bekomme ich es hin, dass das Zertifikat nur am LDAP direkt überprüft wird und nicht am openvpn Server???


Habe leider noch nichts dazu gefunden


Anbei meine Server-Konfig und - falls diese überhaupt benötigt wird - die PAM Konfig:



Server.conf
local 192.168.150.162
port 1194
proto udp
dev tun
ca ca.crt
cert /etc/openvpn/radius.crt
key /etc/openvpn/radius.key # This file should be kept secret
dh dh1024.pem
server 10.8.31.0 255.255.255.0
push "route 192.168.31.0 255.255.255.0"
client-to-client
keepalive 10 120
cipher BF-CBC # Blowfish (default)
comp-lzo
user nobody
group nobody
persist-key
persist-tun
status openvpn-status.log
log openvpn.log
verb 6
mute 20
plugin /lib/security/openvpn-auth-pam.so radius
  1. username-as-common-name




PAM-Config
account required /lib/security/pam_radius_auth.so
auth required /lib/security/pam_radius_auth.so
account required /lib/security/pam_radius.so




Kurzfassung:
Authenifizierung am LDAP funktioniert mit Login/PW Eingabe, allerdings schaffe ich es nicht direkt das Zertifikat am LDAP gegenprüfen zu lassen. Bisher klappt es nur, wenn der OPENVPN Server das Zertifikat überprüft.




Für Hilfe oder Tips wäre ich dankbar :/
Mitglied: darkshark
04.12.2007 um 17:10 Uhr
Ergänzung: zwischen dem ldap und dem openvpn server haengt noch der radius server über den die Anfrage laeuft - hatte ich vergessen zu erwähnen... das radius plugin ist auch installiert aber scheint auch keine zertifikatbasierende Überprüfung zu unterstützen
Bitte warten ..
Mitglied: darkshark
18.12.2007 um 12:42 Uhr
So nach langem hin und her habe ich soweit festgestellt, dass es nicht möglich ist (bitte korrgiert mich, wenn ich hier falsch liege - würde mich freuen), dass Zertifikat am Radius/LDAP gegenprüfen lassen und es dort verwaltet wird (gesperrt / gültig).

Eine Möglichkeit, die ich noch hätte wäre über den openvpn server den common name und vll. noch etwas mehr aus dem Zertifikat auszulesen und am radius/ldap prüfen zu lassen über ein skript. Leider hab ich keine AHnung, wie dieses aufgebaut werden sollte damit es das Zertifikat am Radius überprüft... dabei haben mir die man pages auch nichts gebracht.

Anbei ein Auszug aus den man pages... vll. kann mir da ja jemand helfen oder nen Ansatz geben.

Danke!!!

Gruß
darkshark





--tls-verify cmd
Execute shell command cmd to verify the X509 name of a pending TLS connection that has otherwise passed all other tests of certification (except for revocation via --crl-verify directive; the revocation test occurs after the --tls-verify test).

cmd should return 0 to allow the TLS handshake to proceed, or 1 to fail. cmd is executed as

cmd certificate_depth X509_NAME_oneline

This feature is useful if the peer you want to trust has a certificate which was signed by a certificate authority who also signed many other certificates, where you don't necessarily want to trust all of them, but rather be selective about which peer certificate you will accept. This feature allows you to write a script which will test the X509 name on a certificate and decide whether or not it should be accepted. For a simple perl script which will test the common name field on the certificate, see the file verify-cn in the OpenVPN distribution.

See the "Environmental Variables" section below for additional parameters passed as environmental variables.



Beispielskript:
Bitte warten ..
Mitglied: snake88
15.01.2008 um 11:57 Uhr
Ich befasse mich zurzeit wegen einem Projekt auch mit OpenVPN allerdings habe ich es noch nicht geschafft eine authentifizierung über radius laufen zu lassen...
es wäre super wenn du deinen Ansatz über ldap und radius als kleine anleitung posten könntest

mfg

snake88
Bitte warten ..
Ähnliche Inhalte
Microsoft
LDAP-RADIUS Authentifizierung VPN bei abgelaufenen Kennwort. (8)

Frage von UnbekannterNR1 zum Thema Microsoft ...

Verschlüsselung & Zertifikate
Merkwürdige Radius-Zertifikate (1)

Frage von mrserious73 zum Thema Verschlüsselung & Zertifikate ...

Router & Routing
gelöst OpenVPN Zertifikat abgelaufen - Verbindung nicht möglich (31)

Frage von intane zum Thema Router & Routing ...

Netzwerke
Welcher RADIUS-Server (5)

Frage von Gurustrator zum Thema Netzwerke ...

Neue Wissensbeiträge
Ubuntu

Ubuntu 17.10 steht zum Download bereit

Information von Frank zum Thema Ubuntu ...

Datenschutz

Autofahrer-Pranger - Bewertungsportal illegal

(8)

Information von BassFishFox zum Thema Datenschutz ...

Windows 10

Neues Win10 Funktionsupdate verbuggt RemoteApp

(2)

Information von thomasreischer zum Thema Windows 10 ...

Microsoft

Die neuen RSAT-Tools für Win10 1709 sind da

(2)

Information von DerWoWusste zum Thema Microsoft ...

Heiß diskutierte Inhalte
Router & Routing
Allnet - VDSL2 Modem - SFP (mini-GBIC) (20)

Frage von Dobby zum Thema Router & Routing ...

Voice over IP
DeutschlandLAN IP Voice Data M Premium, Erfahrung mit Faxgeräte? (17)

Frage von liquidbase zum Thema Voice over IP ...

TK-Netze & Geräte
TK-Anlage VoIP - DECT Erweiterung (16)

Frage von Lynkon zum Thema TK-Netze & Geräte ...