linux – 如何防止用户在OpenVPN中共享证书？

发布时间：2020-12-13 18:00:28 所属栏目：Linux 来源：网络整理

导读：我有一个使用证书和LDAP身份验证的OpenVPN服务器. 问题是,一个用户可以共享他的证书,其他有效的LDAP用户可以使用此证书. 题如何确保Bob的证书只能与LDAP用户“bob”一起使用？解决方法根据 this post,common_name不能被用户伪造. 将其添加到openvpn serve

我有一个使用证书和LDAP身份验证的OpenVPN服务器.

问题是,一个用户可以共享他的证书,其他有效的LDAP用户可以使用此证书.

题

如何确保Bob的证书只能与LDAP用户“bob”一起使用？

解决方法

根据 this post,common_name不能被用户伪造.

将其添加到openvpn server.conf中

script-security 2

# untrusted state
auth-user-pass-verify /etc/openvpn/scripts/check_cn_on_connect.sh via-env

/etc/openvpn/scripts/check_cn_on_connect.sh包含

#!/bin/bash

# username and common_name must be the same to allow access.
# users are not allowed to share their cert
if [ $username != $common_name ]; then
   echo "$(date +%Y%m%d-%H%M%S) DENIED  username=$username cert=$common_name" >> /var/log/openvpn-access.log
   exit 1
fi

echo "$(date +%Y%m%d-%H%M%S) GRANTED username=$username cert=$common_name" >> /var/log/openvpn-access.log

exit 0

更新

这适用于OpenVPN 2.1.4.在2.2.0中,他们添加了许多新变量,您可以通过env>>看到这些变量. / tmp / env,其中一个新变量是证书指纹/序列号.

（编辑：李大同）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!