From 0d554154bdf9e65746d2add9500a7c447469e9db Mon Sep 17 00:00:00 2001 From: jdubois Date: Mon, 14 Jun 2021 14:34:09 +0200 Subject: [PATCH] Authentification via PAM et certificat --- HowtoOpenVPN.md | 24 ++++++++++++++++++++++++ 1 file changed, 24 insertions(+) diff --git a/HowtoOpenVPN.md b/HowtoOpenVPN.md index 63d6f97f..d41fe763 100644 --- a/HowtoOpenVPN.md +++ b/HowtoOpenVPN.md @@ -513,6 +513,30 @@ auth-user-pass auth-nocache ~~~ +### Authentification via PAM et certificat + +Pour avoir une authentification qui se base à la fois sur les certificats **et** sur un utilisateur UNIX, il faut utiliser le module PAM, en rajoutant à la configuration du serveur : + +~~~ +plugin /usr/lib/x86_64-linux-gnu/openvpn/plugins/openvpn-plugin-auth-pam.so login +~~~ + +Et dans la configuration du client : + +~~~ +auth-user-pass +auth-nocache +~~~ + +Si en plus de ça, on veut qu'un certificat ne puisse être utilisé que par un seul utilisateur UNIX, il faut utiliser un script vérifiant que le common_name du certificat équivaut à l'username UNIX, en rajoutant dans la configuration du serveur : + +~~~ +script-security 2 +client-connect /etc/openvpn/cn-validation.sh +~~~ + +Le script cn-validation.sh est disponible sur [notre dépôt shellpki sur Gitea](https://gitea.evolix.org/evolix/shellpki/raw/branch/dev/cn-validation.sh) + ### comp-lzo ou compress ?