O
> > Deci daca as avea un CA, fiecare user s-ar putea autentifica la oricare
> > client cu certificatul respectiv ; ba chiar cred ca daca as avea un
> > certificat emis in alt scop... mail, web etc, si pe ala l-ar accepta.
> >
> > Imi trebuie deci o modalitate de a lega certificatele emise de serverul
> > pentru care sunt emise, dar in documentatia de openvpn nu gasesc un
> > hint in sensul asta.
>
> --client-config-dir si --ccd-exclusive nu ajuta? Vezi si
> --username-as-common-name
>
Nu prea imi e clar, sa inteleg:
--ccd-exclusive
Require, as a condition of authentication, that a connecting client has a
--client-config-dir file.
Deci clientul va avea musai acest folder.
Ok, in folderul ala ar trebui sa pun ceva "deosebit". Dar ce?
So, am clientul contoso care tocmai a migrat la openvpn.
II fac lui Vasile de la contoso un config, ii dau certificat. Il oblig sa aiba
si un folder ccd unde pun un script... care nu stiu deocamdata ce face.
Si mai am un alt client cohovineyard.com, care de asemenea a trecut la openvpn
satul de jucariile lui Bill.
Toate certificatele sunt emise de acelasi CA
Bun, ce il impiedica pe Vasile sa schimbe IP-ul din config si sa se conecteze
la cohovineyard? Ce e in scriptul ala si nu poate face el?
Probabil ca ar trebui un script "server-side" care sa verifice numele
certificatului, de exemplu, iar eu sa am grija ca numele sa fie de forma
vasile@contoso. Dar speram ca e mai simplu.
> Also, pt. scripturi jmechere de auth, CN-ul din certificatul client e
> pus in variabila de mediu $common_name.
_______________________________________________
RLUG mailing list
RLUG@lists.lug.ro
http://lists.lug.ro/mailman/listinfo/rlug
