OpenVPN mit Benutzerauthentifizierung gegen PAM

Aus xinux.net
Zur Navigation springen Zur Suche springen

Xinux#Open VPN

Server

  • OpenVPN installieren
  • Zertifikate generieren laut HOW TO
  • das benötigte Skript (z.B. /usr/local/sbin/auth-pam.pl) aus dem OpenVPN-Paket nach /usr/local/sbin kopieren
henry:/etc/openvpn# cat server.conf
port 5004
dev tun4
ifconfig 10.9.0.1 10.9.0.2
dh /etc/openvpn/dh1024
ca /etc/openvpn/ca.crt
key /etc/openvpn/henry.key
cert /etc/openvpn/henry.crt
###### Ab hier wirds richtig interessant
auth-user-pass-verify /usr/local/sbin/auth-pam.pl via-file
### oder ueber linux modul (mitgeliefert bei openvpn-paket)
# plugin /usr/lib/openvpn/openvpn-auth-pam.so openvpn (selbst erstellte Datei unter /etc/pam.d, man kann aber auch ueber alle anderen Dateien von pam  authentifizieren
mode server 
tls-server


beispiel /etc/pam.d/openvpn 

# Standard Unix authentication.
@include common-auth 

# Standard Unix authorization.
@include common-account 

# Standard Unix session setup and teardown.
@include common-session

Client

  • OpenVPN installieren
  • Benötigte Zertifikate vom Server holen
ak@uranus:~$ cat /etc/openvpn/henry.conf
dev tun
proto udp
remote humbiflag.homelinux.net
port 5004
ca /etc/openvpn/ca.crt
key /etc/openvpn/uranus.key
cert /etc/openvpn/uranus.crt
###### Nun wirds ab hier interessant
auth-user-pass
pull
tls-client

bekannte Probleme

PAM said: Error in service module
  • ist wohl ein Problem mit dem pl-Skript. Es gibt auch noch ein .so welches ich aber auf dem als testrechner mißbrauchten Gateway nicht mit kompiliert hab. Teste ich gelegentlich unter VMware o.ä.
  • Die Konfigurationen sind nicht ganz ausgereift sie sollten lediglich dazu dienen die Authentifizierung zu testen!

weitere Hinweise

Vorlage:HOWTO

Abgerufen von „https://xinux.net/index.php?title=OpenVPN_mit_Benutzerauthentifizierung_gegen_PAM&oldid=4924