OpenVPN mit Benutzerauthentifizierung gegen PAM
Zur Navigation springen
Zur Suche springen
Server
- OpenVPN installieren
- Zertifikate generieren laut HOW TO
- das benötigte Skript (z.B. /usr/local/sbin/auth-pam.pl) aus dem OpenVPN-Paket nach /usr/local/sbin kopieren
henry:/etc/openvpn# cat server.conf port 5004 dev tun4 ifconfig 10.9.0.1 10.9.0.2 dh /etc/openvpn/dh1024 ca /etc/openvpn/ca.crt key /etc/openvpn/henry.key cert /etc/openvpn/henry.crt ###### Ab hier wirds richtig interessant auth-user-pass-verify /usr/local/sbin/auth-pam.pl via-file ### oder ueber linux modul (mitgeliefert bei openvpn-paket) # plugin /usr/lib/openvpn/openvpn-auth-pam.so openvpn (selbst erstellte Datei unter /etc/pam.d, man kann aber auch ueber alle anderen Dateien von pam authentifizieren mode server tls-server
beispiel /etc/pam.d/openvpn
# Standard Unix authentication. @include common-auth # Standard Unix authorization. @include common-account # Standard Unix session setup and teardown. @include common-session
Client
- OpenVPN installieren
- Benötigte Zertifikate vom Server holen
ak@uranus:~$ cat /etc/openvpn/henry.conf dev tun proto udp remote humbiflag.homelinux.net port 5004 ca /etc/openvpn/ca.crt key /etc/openvpn/uranus.key cert /etc/openvpn/uranus.crt ###### Nun wirds ab hier interessant auth-user-pass pull tls-client
bekannte Probleme
PAM said: Error in service module
- ist wohl ein Problem mit dem pl-Skript. Es gibt auch noch ein .so welches ich aber auf dem als testrechner mißbrauchten Gateway nicht mit kompiliert hab. Teste ich gelegentlich unter VMware o.ä.
- Die Konfigurationen sind nicht ganz ausgereift sie sollten lediglich dazu dienen die Authentifizierung zu testen!
weitere Hinweise
- im Howto unter alternative Authentifizerungsmethoden
- in der Man-Page