[linux] Re: openvpn
Michel van der Klei
michel op mitch-it.nl
Vr Jan 30 01:19:12 CET 2009
> > > Voordat ik er helemaal induik: weet iemand of 't mogelijk is om openvpn
> > > zodanig te configureren dat clients alleen een username + password (en
> > > eventueel een groupkey ofzoiets) nodig hebben maar niet een certificaat?
> > Ja dat kan.
> Kom er zelf niet helemaal uit.
> Deze config geeft de melding dat tls-server nodig is maar dat doet
> vermoeden dat e.e..a toch key-authenticatie wil doen:
> dev tap
> mode server
> auth-user-pass-verify /etc/openvpn/userpass-auth-script.sh via-env
> client-cert-not-required
> comp-lzo
> keepalive 10 60
> ping-timer-rem
> username-as-common-name
Werkt via-file ipv via-env wel?
Verder ben je volgens mij vergeten --script-security 3 mee te geven bij het opstarten van ovpn.
Op mijn Debian blikken moet ik dat expliciet meegeven, je krijgt dan iets als:
openvpn --config /etc/openvpn/server.conf --script-security 3
Uit de ovpn man page:
0 -- Strictly no calling of external programs.
1 -- (Default) Only call built-in executables such as ifconfig,
ip, route, or netsh.
2 -- Allow calling of built-in executables and user-defined
scripts.
3 -- Allow passwords to be passed to scripts via environmental
variables (potentially unsafe).
Gr,
Michel
More information about the Linux
mailing list