OpenVPN - только аутентификация по паролю
При использовании клиента OpenVPN для Windows я могу войти на сервер OpenVPN, используя только имя пользователя и пароль. Я не могу понять, как сделать то же самое в Ubuntu. Кажется, что требуется какой-то сертификат.
Есть идеи, как пройти аутентификацию на сервере OpenVPN, используя только имя пользователя и пароль?
2 ответа
Вы можете без проблем пройти аутентификацию, используя имя пользователя / пароль без сертификата сервера / CA. Однако я настоятельно рекомендую настроить его для проверки с сертификатом CA для предотвращения атак «человек посередине».
Без какой-либо проверки сервера любой может выдать себя за ваш сервер OpenVPN и просто принять ваше имя пользователя / пароль. Результаты:
- Злоумышленник может перехватить весь трафик. Поскольку вы не проверяете сервер, к которому подключаетесь, любой может заявить, что он ваш сервер в общедоступной сети (или частной сети, контролируемой злоумышленником).
- Атакующий знает вашу комбинацию имени пользователя и пароля. Очень плохо, если вы используете этот же пароль и для других целей.
В Network Manager он работает нормально без CA Cert, как показано ниже, но, пожалуйста, не используйте его так! Если вы не используете какой-либо сертификат сервера / CA в Windows, вы действительно уязвимы для вышеуказанных атак.
Я нашел ответ здесь: http://openvpn.net/index.php/open-source/documentation/howto.html#auth
Помните, вам все еще нужно иметь сертификат сервера
Использование аутентификации по имени пользователя / паролю в качестве единственной формы аутентификации клиента
По умолчанию используется плагин auth-user-pass-verify или плагин проверки имени и пароля сервер включит двойную аутентификацию, требуя, чтобы аутентификация клиента-сертификата и имени пользователя / пароля прошла успешно для аутентификации клиента.
Хотя это не рекомендуется с точки зрения безопасности, также возможно отключить использование клиентских сертификатов и принудительно выполнять только аутентификацию по имени пользователя и паролю. На сервере:
client-cert-not-required Такие конфигурации обычно также должны устанавливать:
username-as-common-name, который скажет серверу использовать имя пользователя для целей индексации как он будет использовать общее имя клиента, который аутентифицируется через клиентский сертификат.
Обратите внимание, что client-cert-not-required не избавит от необходимости сертификат сервера, поэтому клиент, подключающийся к серверу, который использует client-cert-not-required, может удалить директивы cert и key из файла конфигурации клиента , но не директива ca, потому что клиенту необходимо проверить сертификат сервера.