evolix/wiki
22
0
Fork 0
Code Releases Activity

Authentification via PAM et certificat

Browse source
This commit is contained in:
jdubois 2021-06-14 14:34:09 +02:00
parent ddc2414e35
commit 0d554154bd
1 changed files with 24 additions and 0 deletions
Show stats Download patch file Download diff file Expand all files Collapse all files

24
HowtoOpenVPN.md
View file

@ -513,6 +513,30 @@ auth-user-pass
auth-nocache
~~~
### Authentification via PAM et certificat
Pour avoir une authentification qui se base à la fois sur les certificats **et** sur un utilisateur UNIX, il faut utiliser le module PAM, en rajoutant à la configuration du serveur :
~~~
plugin /usr/lib/x86_64-linux-gnu/openvpn/plugins/openvpn-plugin-auth-pam.so login
~~~
Et dans la configuration du client :
~~~
auth-user-pass
auth-nocache
~~~
Si en plus de ça, on veut qu'un certificat ne puisse être utilisé que par un seul utilisateur UNIX, il faut utiliser un script vérifiant que le common_name du certificat équivaut à l'username UNIX, en rajoutant dans la configuration du serveur :
~~~
script-security 2
client-connect /etc/openvpn/cn-validation.sh
~~~
Le script cn-validation.sh est disponible sur [notre dépôt shellpki sur Gitea](https://gitea.evolix.org/evolix/shellpki/raw/branch/dev/cn-validation.sh)
### comp-lzo ou compress ?
<https://community.openvpn.net/openvpn/wiki/DeprecatedOptions#a--comp-lzo>