O > > Deci daca as avea un CA, fiecare user s-ar putea autentifica la oricare > > client cu certificatul respectiv ; ba chiar cred ca daca as avea un > > certificat emis in alt scop... mail, web etc, si pe ala l-ar accepta. > > > > Imi trebuie deci o modalitate de a lega certificatele emise de serverul > > pentru care sunt emise, dar in documentatia de openvpn nu gasesc un > > hint in sensul asta. > > --client-config-dir si --ccd-exclusive nu ajuta? Vezi si > --username-as-common-name >
Nu prea imi e clar, sa inteleg: --ccd-exclusive Require, as a condition of authentication, that a connecting client has a --client-config-dir file. Deci clientul va avea musai acest folder. Ok, in folderul ala ar trebui sa pun ceva "deosebit". Dar ce? So, am clientul contoso care tocmai a migrat la openvpn. II fac lui Vasile de la contoso un config, ii dau certificat. Il oblig sa aiba si un folder ccd unde pun un script... care nu stiu deocamdata ce face. Si mai am un alt client cohovineyard.com, care de asemenea a trecut la openvpn satul de jucariile lui Bill. Toate certificatele sunt emise de acelasi CA Bun, ce il impiedica pe Vasile sa schimbe IP-ul din config si sa se conecteze la cohovineyard? Ce e in scriptul ala si nu poate face el? Probabil ca ar trebui un script "server-side" care sa verifice numele certificatului, de exemplu, iar eu sa am grija ca numele sa fie de forma vasile@contoso. Dar speram ca e mai simplu. > Also, pt. scripturi jmechere de auth, CN-ul din certificatul client e > pus in variabila de mediu $common_name. _______________________________________________ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug