Re: [rlug] openvpn si CA
On Monday, April 04, 2011 11:55:56 pm Cristian Mitrana wrote: * Eugeniu Patrascu eu...@imacandi.net [04-04-11 19:36]: Poti folosi parametrul KeyUsage din certificat. In principiu poti da certificat la userii de au nevoie de VPN certificate cu KeyUsage=IPSec si OpenVPN sa-ti caute key usage in certificat si daca nu e IPSec sa nu-l lase sa se conecteze. Cred ca problema este ca are mai multe server-e OpenVpn si nu vrea ca un client sa se poate autentifica la serverul gresit, certificatele client fiind emise de acelasi CA. Da, asta e problema certificat emis in alt scop... mail, web etc, si pe ala l-ar accepta. Imi trebuie deci o modalitate de a lega certificatele emise de serverul pentru care sunt emise, dar in documentatia de openvpn nu gasesc un hint in sensul asta. Cred ca solutia cea mai eleganta, si a sugerat-o deja Petre, este sa validezi clientul pe server cu un client-script. Dupa CN-ul certificatului sau alte metode de extragere si validarea a informatiei din certificat (extensii sau campuri deja existente). Altfel, cu un singur CA, nu prea ai cum sa interzici unui server sa valideze un certificat 'client', fara a face CA-uri intermediare pentru fiecare server. Probabil ca asta e solutia, trebuie sa vad cum se face scriptul. Ma gandeam ca se poate mai simplu, nu cred ca sunt primul care a remarcat problema asta la openvpn. Merci pentru idei, o sa fac niste teste. ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug
[rlug] openvpn si CA
Salut, Pentru ca sunt lenes, as vrea sa fac urmatoarea chestiune: In momentul de fata, am mai multi clienti independenti care au Openvpn la care se autentifica cu certificate. Se intra pe server, se emite certificatul userului, se da omului configul si certificatul. Ma gandesc sa nu mai intru pe server, am template-ul pentru config, sa construiesc un CA si sa le emit certificate la cerere. ( de fapt altcineva sa faca asta dintr-o interfata iar eu sa stau degeaba) Problema e ca dupa cum imi dau eu seama, openvpn autentifica toti userii care au certificat valid emis de CA-ul respectiv. Deci daca as avea un CA, fiecare user s-ar putea autentifica la oricare client cu certificatul respectiv ; ba chiar cred ca daca as avea un certificat emis in alt scop... mail, web etc, si pe ala l-ar accepta. Imi trebuie deci o modalitate de a lega certificatele emise de serverul pentru care sunt emise, dar in documentatia de openvpn nu gasesc un hint in sensul asta. ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug
Re: [rlug] openvpn si CA
2011/4/4 Mihai Badici mihai.bad...@itassist.ro: Salut, Pentru ca sunt lenes, as vrea sa fac urmatoarea chestiune: In momentul de fata, am mai multi clienti independenti care au Openvpn la care se autentifica cu certificate. Se intra pe server, se emite certificatul userului, se da omului configul si certificatul. Ma gandesc sa nu mai intru pe server, am template-ul pentru config, sa construiesc un CA si sa le emit certificate la cerere. ( de fapt altcineva sa faca asta dintr-o interfata iar eu sa stau degeaba) Problema e ca dupa cum imi dau eu seama, openvpn autentifica toti userii care au certificat valid emis de CA-ul respectiv. Deci daca as avea un CA, fiecare user s-ar putea autentifica la oricare client cu certificatul respectiv ; ba chiar cred ca daca as avea un certificat emis in alt scop... mail, web etc, si pe ala l-ar accepta. Imi trebuie deci o modalitate de a lega certificatele emise de serverul pentru care sunt emise, dar in documentatia de openvpn nu gasesc un hint in sensul asta. --client-config-dir si --ccd-exclusive nu ajuta? Vezi si --username-as-common-name Also, pt. scripturi jmechere de auth, CN-ul din certificatul client e pus in variabila de mediu $common_name. -- Petre. ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug
Re: [rlug] openvpn si CA
O Deci daca as avea un CA, fiecare user s-ar putea autentifica la oricare client cu certificatul respectiv ; ba chiar cred ca daca as avea un certificat emis in alt scop... mail, web etc, si pe ala l-ar accepta. Imi trebuie deci o modalitate de a lega certificatele emise de serverul pentru care sunt emise, dar in documentatia de openvpn nu gasesc un hint in sensul asta. --client-config-dir si --ccd-exclusive nu ajuta? Vezi si --username-as-common-name Nu prea imi e clar, sa inteleg: --ccd-exclusive Require, as a condition of authentication, that a connecting client has a --client-config-dir file. Deci clientul va avea musai acest folder. Ok, in folderul ala ar trebui sa pun ceva deosebit. Dar ce? So, am clientul contoso care tocmai a migrat la openvpn. II fac lui Vasile de la contoso un config, ii dau certificat. Il oblig sa aiba si un folder ccd unde pun un script... care nu stiu deocamdata ce face. Si mai am un alt client cohovineyard.com, care de asemenea a trecut la openvpn satul de jucariile lui Bill. Toate certificatele sunt emise de acelasi CA Bun, ce il impiedica pe Vasile sa schimbe IP-ul din config si sa se conecteze la cohovineyard? Ce e in scriptul ala si nu poate face el? Probabil ca ar trebui un script server-side care sa verifice numele certificatului, de exemplu, iar eu sa am grija ca numele sa fie de forma vasile@contoso. Dar speram ca e mai simplu. Also, pt. scripturi jmechere de auth, CN-ul din certificatul client e pus in variabila de mediu $common_name. ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug
Re: [rlug] openvpn si CA
2011/4/4 Mihai Badici mihai.bad...@itassist.ro: O Deci daca as avea un CA, fiecare user s-ar putea autentifica la oricare client cu certificatul respectiv ; ba chiar cred ca daca as avea un certificat emis in alt scop... mail, web etc, si pe ala l-ar accepta. Imi trebuie deci o modalitate de a lega certificatele emise de serverul pentru care sunt emise, dar in documentatia de openvpn nu gasesc un hint in sensul asta. --client-config-dir si --ccd-exclusive nu ajuta? Vezi si --username-as-common-name Nu prea imi e clar, sa inteleg: --ccd-exclusive Require, as a condition of authentication, that a connecting client has a --client-config-dir file. Deci clientul va avea musai acest folder. Ok, in folderul ala ar trebui sa pun ceva deosebit. Dar ce? So, am clientul contoso care tocmai a migrat la openvpn. II fac lui Vasile de la contoso un config, ii dau certificat. Il oblig sa aiba si un folder ccd unde pun un script... care nu stiu deocamdata ce face. Folderul ala e cautat dupa CN-ul din certificatul prezentat de client. Certificat care a fost emis de tine, cu CN-ul pus de manutza de tine. Daca Vasile ii da de buna voie lui Gigel certificatul, nu prea ai ce face, dar altfel n-o sa ii incurce serverul. -- Petre. ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug
Re: [rlug] openvpn si CA
On 04/04/2011 05:07 PM, Petru Ratiu wrote: .. Folderul ala e cautat dupa CN-ul din certificatul prezentat de client. Certificat care a fost emis de tine, cu CN-ul pus de manutza de tine. Daca Vasile ii da de buna voie lui Gigel certificatul, nu prea ai ce face, dar altfel n-o sa ii incurce serverul. Cred ca ceea ce vrea sa spuna este: gigel se autentifica cu certificatul lui, dupa care seteaza manual ip-ul lui vasile. -- Teddy ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug
Re: [rlug] openvpn si CA
Poti folosi parametrul KeyUsage din certificat. In principiu poti da certificat la userii de au nevoie de VPN certificate cu KeyUsage=IPSec si OpenVPN sa-ti caute key usage in certificat si daca nu e IPSec sa nu-l lase sa se conecteze. 2011/4/4 Mihai Badici mihai.bad...@itassist.ro: Salut, Pentru ca sunt lenes, as vrea sa fac urmatoarea chestiune: In momentul de fata, am mai multi clienti independenti care au Openvpn la care se autentifica cu certificate. Se intra pe server, se emite certificatul userului, se da omului configul si certificatul. Ma gandesc sa nu mai intru pe server, am template-ul pentru config, sa construiesc un CA si sa le emit certificate la cerere. ( de fapt altcineva sa faca asta dintr-o interfata iar eu sa stau degeaba) Problema e ca dupa cum imi dau eu seama, openvpn autentifica toti userii care au certificat valid emis de CA-ul respectiv. Deci daca as avea un CA, fiecare user s-ar putea autentifica la oricare client cu certificatul respectiv ; ba chiar cred ca daca as avea un certificat emis in alt scop... mail, web etc, si pe ala l-ar accepta. Imi trebuie deci o modalitate de a lega certificatele emise de serverul pentru care sunt emise, dar in documentatia de openvpn nu gasesc un hint in sensul asta. ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug
Re: [rlug] openvpn si CA
* Eugeniu Patrascu eu...@imacandi.net [04-04-11 19:36]: Poti folosi parametrul KeyUsage din certificat. In principiu poti da certificat la userii de au nevoie de VPN certificate cu KeyUsage=IPSec si OpenVPN sa-ti caute key usage in certificat si daca nu e IPSec sa nu-l lase sa se conecteze. Cred ca problema este ca are mai multe server-e OpenVpn si nu vrea ca un client sa se poate autentifica la serverul gresit, certificatele client fiind emise de acelasi CA. 2011/4/4 Mihai Badici mihai.bad...@itassist.ro: Salut, Pentru ca sunt lenes, as vrea sa fac urmatoarea chestiune: In momentul de fata, am mai multi clienti independenti care au Openvpn la care se autentifica cu certificate. Se intra pe server, se emite certificatul userului, se da omului configul si certificatul. Ma gandesc sa nu mai intru pe server, am template-ul pentru config, sa construiesc un CA si sa le emit certificate la cerere. ( de fapt altcineva sa faca asta dintr-o interfata iar eu sa stau degeaba) Problema e ca dupa cum imi dau eu seama, openvpn autentifica toti userii care au certificat valid emis de CA-ul respectiv. Deci daca as avea un CA, fiecare user s-ar putea autentifica la oricare client cu certificatul respectiv ; ba chiar cred ca daca as avea un certificat emis in alt scop... mail, web etc, si pe ala l-ar accepta. Imi trebuie deci o modalitate de a lega certificatele emise de serverul pentru care sunt emise, dar in documentatia de openvpn nu gasesc un hint in sensul asta. Cred ca solutia cea mai eleganta, si a sugerat-o deja Petre, este sa validezi clientul pe server cu un client-script. Dupa CN-ul certificatului sau alte metode de extragere si validarea a informatiei din certificat (extensii sau campuri deja existente). Altfel, cu un singur CA, nu prea ai cum sa interzici unui server sa valideze un certificat 'client', fara a face CA-uri intermediare pentru fiecare server. -- mitu ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug