Beim Konfigurieren des OpenVPN-Servers kann ich entweder die zertifikatbasierte Authentifizierung oder die Authentifizierung mit Benutzername / Kennwort mithilfe des openvpn-plugin-auth-pam
Plugins aktivieren , jedoch nicht beide gleichzeitig.
Ich aktiviere die Authentifizierung mit Benutzername / Passwort wie folgt:
plugin /usr/lib/openvpn/openvpn-plugin-auth-pam.so login
client-cert-not-required
username-as-common-name
Sobald ich jedoch die folgenden Zeilen hinzufüge, funktionieren meine für die Zertifikatauthentifizierung konfigurierten Clients nicht mehr mit den folgenden Meldungen im Protokoll:
TLS Error: Auth Username/Password was not provided by peer
TLS Error: TLS handshake failed
Gibt es eine Möglichkeit, von Benutzern, die die Zertifikatauthentifizierung verwenden, keinen Benutzernamen / kein Kennwort zu verlangen?
authentication
openvpn
Andrei Tanas
quelle
quelle
Antworten:
OpenVPN unterstützt nicht mehrere gleichzeitige Authentifizierungsmethoden. Die beste Lösung hierfür besteht, wie in den Kommentaren erwähnt, darin, zwei Instanzen von OpenVPN auszuführen. Es ist komplizierter, es auf derselben Box auszuführen, ist aber definitiv machbar.
Es scheint jedoch einige Problemumgehungen zu geben, die für Ihre Situation geeignet sein könnten.
Quelle: https://openvpn.net/archive/openvpn-users/2007-12/msg00179.html
Möglicherweise können Sie Ihre von OpenVPN generierten Schlüsselpaare auch in einen lokalen LDAP-Server einbinden und das oben genannte Skript zur Authentifizierung gegen LDAP mit dem bereitgestellten Zertifikat verwenden oder die angegebenen Anmeldeinformationen verwenden, sofern kein Zertifikat vorgelegt wurde.
quelle