Authentification via PAM et certificat
This commit is contained in:
parent
ddc2414e35
commit
0d554154bd
|
@ -513,6 +513,30 @@ auth-user-pass
|
||||||
auth-nocache
|
auth-nocache
|
||||||
~~~
|
~~~
|
||||||
|
|
||||||
|
### Authentification via PAM et certificat
|
||||||
|
|
||||||
|
Pour avoir une authentification qui se base à la fois sur les certificats **et** sur un utilisateur UNIX, il faut utiliser le module PAM, en rajoutant à la configuration du serveur :
|
||||||
|
|
||||||
|
~~~
|
||||||
|
plugin /usr/lib/x86_64-linux-gnu/openvpn/plugins/openvpn-plugin-auth-pam.so login
|
||||||
|
~~~
|
||||||
|
|
||||||
|
Et dans la configuration du client :
|
||||||
|
|
||||||
|
~~~
|
||||||
|
auth-user-pass
|
||||||
|
auth-nocache
|
||||||
|
~~~
|
||||||
|
|
||||||
|
Si en plus de ça, on veut qu'un certificat ne puisse être utilisé que par un seul utilisateur UNIX, il faut utiliser un script vérifiant que le common_name du certificat équivaut à l'username UNIX, en rajoutant dans la configuration du serveur :
|
||||||
|
|
||||||
|
~~~
|
||||||
|
script-security 2
|
||||||
|
client-connect /etc/openvpn/cn-validation.sh
|
||||||
|
~~~
|
||||||
|
|
||||||
|
Le script cn-validation.sh est disponible sur [notre dépôt shellpki sur Gitea](https://gitea.evolix.org/evolix/shellpki/raw/branch/dev/cn-validation.sh)
|
||||||
|
|
||||||
### comp-lzo ou compress ?
|
### comp-lzo ou compress ?
|
||||||
|
|
||||||
<https://community.openvpn.net/openvpn/wiki/DeprecatedOptions#a--comp-lzo>
|
<https://community.openvpn.net/openvpn/wiki/DeprecatedOptions#a--comp-lzo>
|
||||||
|
|
Loading…
Reference in a new issue