Version anglaiseVersion espagnoleVersion françaiseInscrivez-vous, c'est gratuit ! (mot de passe oublié)
- Jeudi 8 janvier 2009 - 12:51:07
- inscrits : 1157453
- connectés : 45849
- questions/jour : 5611
- Taux de réponse : 76.61%
Plateformes d'assistanceDiscussions & Opinions des Communautés
|
|
|
|
Bonjour,
J'aimeria savoir si quelqu'un a essayé de faire un vpn implémentant une authentification login/pwd en plus de ses certificats, ou une athentificaiton LDAP(même si je doute d'avoir beaucoup de réponse sur ce sujet).
J'ai essayé de le faire mais je suis bloqué.
Mon architecture :
client: windows
serveur :linux Fedora core 6
tunnel vpn niveau 3 (tun)
j'en appel donc à votre génie. Cependant je ne vais pas vous laisser en plan sans rien vous dire, je vais faire une sorte de "tuto" sans en etre un.
Tous d'abord il existe plusieurs façon de faire de l'authentificaiton sur un vpn autre que par les certificats (cf man openvpn et howto)
Using Script Plugins
Using Shared Object or DLL Plugins
Using username/password authentication as the only form of client authentication
C'est donc cette dernière solution que j'essaie de mettre en place.
Pour cela que faut-il faire?
Côté Client:
il faut rajouter la ligne auth-user-pass dans le fichier de conf et c'est tous !! (du moins je pense ^^)
Côté Serveur:
D'abord il faut rajouter les lignes:
client-cert-not-required
username-as-common-name
puis rajouter :
auth-user-pass-verify <script> via... (vai-env ou via-file)
Et c'est tous pour le fichier de conf.
Maintenant quoi mettre dans notre script?
Pour cela openvpn mets à notre disposition des scripts déja fait.
Donc dans un premier temps on va utiliser le srcipt ucn.pl, un script un PERL qui vérifi si le username = le common name.
Citation :
#!/usr/bin/perl -t
# OpenVPN --auth-user-pass-verify script.
# Only authenticate if username equals common_name.
# In OpenVPN config file:
# auth-user-pass-verify ./ucn.pl via-env
$username = $ENV{'username'};
$common_name = $ENV{'common_name'};
exit !(length($username) > 0 && length($common_name) > 0 && $username eq $common_name);
ce script utilise donc la méthode via-env de l'option auth-user-pass-verify
donc comment dit en commentaire dans le script la ligne à mettre dans son fichier de conf est : auth-user-pass-verify ./ucn.pl via-env
Voila c'est ici que moi je bloque.
au lancement du client windows une fenêtre s'ouvre et demande à l'utilisateur de rentrer un login et un pass. Dans le cas présant il faut rentrer le common_name comme login le pass moi je le laisse vide (peut etre une source d'erreur????)
Coté serveur, au lancement d'openvpn tous va bien, jusqu'a la demande de connexion du client, là après initialisation et la vérification du certificat j'ai un beau message dans les logs me disant tous simplement Failed to execute "le chemin de mon script".
Voila donc mon explication s'arrete ici.
Cela fait plus d'une semaine que je trifouille le net pour trouver la solution mais je ne trouve aucune solution.
Si quelqu'un à déja mis en place ce system d'authentification, j'aimerai bien qu'il m'explique ce qu'il cloche.
Ce n'est pas les droits car sur mon script je lui est mits un petit RWX RWX RWX comme ça je suis sur que l'on puisse executer mon script.
Le chemin pour acceder à mon script c'est pareil le reste du monde peut y accéder.
Je vous remercie d'avance pour votre aide
Snub
J'aimeria savoir si quelqu'un a essayé de faire un vpn implémentant une authentification login/pwd en plus de ses certificats, ou une athentificaiton LDAP(même si je doute d'avoir beaucoup de réponse sur ce sujet).
J'ai essayé de le faire mais je suis bloqué.
Mon architecture :
client: windows
serveur :linux Fedora core 6
tunnel vpn niveau 3 (tun)
j'en appel donc à votre génie. Cependant je ne vais pas vous laisser en plan sans rien vous dire, je vais faire une sorte de "tuto" sans en etre un.
Tous d'abord il existe plusieurs façon de faire de l'authentificaiton sur un vpn autre que par les certificats (cf man openvpn et howto)
Using Script Plugins
Using Shared Object or DLL Plugins
Using username/password authentication as the only form of client authentication
C'est donc cette dernière solution que j'essaie de mettre en place.
Pour cela que faut-il faire?
Côté Client:
il faut rajouter la ligne auth-user-pass dans le fichier de conf et c'est tous !! (du moins je pense ^^)
Côté Serveur:
D'abord il faut rajouter les lignes:
client-cert-not-required
username-as-common-name
puis rajouter :
auth-user-pass-verify <script> via... (vai-env ou via-file)
Et c'est tous pour le fichier de conf.
Maintenant quoi mettre dans notre script?
Pour cela openvpn mets à notre disposition des scripts déja fait.
Donc dans un premier temps on va utiliser le srcipt ucn.pl, un script un PERL qui vérifi si le username = le common name.
Citation :
#!/usr/bin/perl -t
# OpenVPN --auth-user-pass-verify script.
# Only authenticate if username equals common_name.
# In OpenVPN config file:
# auth-user-pass-verify ./ucn.pl via-env
$username = $ENV{'username'};
$common_name = $ENV{'common_name'};
exit !(length($username) > 0 && length($common_name) > 0 && $username eq $common_name);
ce script utilise donc la méthode via-env de l'option auth-user-pass-verify
donc comment dit en commentaire dans le script la ligne à mettre dans son fichier de conf est : auth-user-pass-verify ./ucn.pl via-env
Voila c'est ici que moi je bloque.
au lancement du client windows une fenêtre s'ouvre et demande à l'utilisateur de rentrer un login et un pass. Dans le cas présant il faut rentrer le common_name comme login le pass moi je le laisse vide (peut etre une source d'erreur????)
Coté serveur, au lancement d'openvpn tous va bien, jusqu'a la demande de connexion du client, là après initialisation et la vérification du certificat j'ai un beau message dans les logs me disant tous simplement Failed to execute "le chemin de mon script".
Voila donc mon explication s'arrete ici.
Cela fait plus d'une semaine que je trifouille le net pour trouver la solution mais je ne trouve aucune solution.
Si quelqu'un à déja mis en place ce system d'authentification, j'aimerai bien qu'il m'explique ce qu'il cloche.
Ce n'est pas les droits car sur mon script je lui est mits un petit RWX RWX RWX comme ça je suis sur que l'on puisse executer mon script.
Le chemin pour acceder à mon script c'est pareil le reste du monde peut y accéder.
Je vous remercie d'avance pour votre aide
Snub
Configuration: Windows XP Internet Explorer 6.0
Bonjour,
si tu as mis "./" je suppose que ton script est dans le meme répertoire que openVPN. Je te conseille soit : -d'enlever le ./ -mettre le chemin complet du script |
oui j'ai déja testé avec le chemin complet, puis en recopiant le fichier dans d'autre dossier. Mais ça ne change rien les droits de ce fichiers sont 777 donc ya pas de soucis de droit normalement.
|
j'ai trouvé ça : http://www.hsc.fr/ressources/breves/openvpn-certificat-pam.html.fr
mais je ne sais pas ce que sa vos ...
|
Ajoute la ligne
script-secutiry 2 (si tu utilise la méthode via-file) ou script-security 3 (si tu utilises via-env) |
Résultats pour [Openvpn] pb sur auth user pass verify
[VBA] Access : formulaire et variable (Résolu) Bonjour, Lorsque mon fichier Access se lance, un formulaire d'authentification (login/password) apparaît. En fonction du login, l'utilisateur aura accès à des fonctionnalités plus ou moins étendues. Ce que j'aimerais faire, c'est...
www.commentcamarche.net/forum/affich-1775189-vba-access-formulaire-et-variable
Connexcion automatique FTP sous DOS (Résolu) Bonjour a tous, Je souhaiterai savoir s'il y a une commande sous dos pour une connexion automatique sur un serveur ftp. Je pense que la commande doit etre du type "ftp serveur@user.pass " mais j'ai tenté plusieurs solution sans resultat.
www.commentcamarche.net/forum/affich-1931003-connexcion-automatique-ftp-sous-dos
[MSSQL] commande UPDATE (Résolu) Bonjour, j'ai créé la commande suivante sur ma page php :
www.commentcamarche.net/forum/affich-2474786-mssql-commande-update
Résultats pour [Openvpn] pb sur auth user pass verify
Changer le mot de passe via un scriptChanger le mot de passe via un script
passwd
Traditionnellement avec la commande "passwd" et son option "--stdin", au travers d'un "tube" (pipe en anglais), ce qui donne la syntaxe suivante :echo -e "new_password\nnew_password" | (passwd --stdin...
www.commentcamarche.net/faq/sujet-5976-changer-le-mot-de-passe-via-un-script
[Linux] Utiliser la commande "su"Préambule
Se connecter sous un autre ID utilisateur avec "su"
Démarrer un nouveau shell de connexion avec "su -"
Revenir au shell précédent
Suspendre le shell du compte root
Notes
Préambule
La commande "su" (Switch User, appelée plus...
www.commentcamarche.net/faq/sujet-156-linux-utiliser-la-commande-su
Limiter les horaires d'utilisation du PCSi vous avez plusieurs comptes utilisateurs, il est possible avec la commande NET USER de limiter les horaires de travail sur chaque compte, afin d'éviter que vos enfants passent trop du temps devant le PC par exemple.
Pour cela, vous devez...
www.commentcamarche.net/faq/sujet-13049-limiter-les-horaires-d-utilisation-du-pc
Résultats pour [Openvpn] pb sur auth user pass verify
Impossible de connecter script php à base SQL (Résolu)bonjour; nous sommes actuellement confrontés au problème suivant: nos scripts php débute avec $ressource=mysql_connect ($host,$user,$password); mysql_select_db ($base,$ressource); le $user spécifié possède tous les droits sur la $base or lorsque le...
www.commentcamarche.net/forum/affich-3291927-impossible-de-connecter-script-php-a-base-sql
Concaténer un champ et une variable (Résolu)Bonjour, J'essaye de prendre un champ de ma base sql et de lui rajouter le contenu d'une variable avant de la sauver au même endroit. je fait çà mais ça ne marche pas : mysql_connect($host, $user, $pass); mysql_select_db($bdd); $suite =...
www.commentcamarche.net/forum/affich-8357781-concatener-un-champ-et-une-variable
[Php/Sql]requete sql (Résolu)Bonsoir ou bonjour , j'ai un petit probleme avec ce code que j'ai fait :
www.commentcamarche.net/forum/affich-2727406-php-sql-requete-sql
Résultats pour [Openvpn] pb sur auth user pass verify
U.S. Robotics USR5454 Wireless Ndx Access PointU . . S .S .S, Divers:Two-year limited manufacturer warranty from date of purchase, Nombre de antennes:3, Portes LAN:1, Fréquence:2.4GHz, Algorithme de cryptage:64/128-bit WEP, AES, WPA, WPA2, TKIP, Transport Protocol:IPSec, PPTP, L2TP, Vitesse max du...
www.commentcamarche.net/guide-achat/u-s-robotics-usr5454-wireless-ndx-access-point-943656-fiche-technique
The Mobility Lab StereoLab USBFilaire, Cable 2 m, Bande passante écouteurs:20-20000 Hz, Contrôle du volume, Divers:Customized for intensive users, Impédance:32 ohm, Longueur du cable:2.0 m, Sensibilité:100 dB/1mW, Type:Headset, Technologie sans-fil:Filaire, Page web du produit:Anglais
www.commentcamarche.net/guide-achat/the-mobility-lab-stereolab-usb-1056751-fiche-technique
Axis Network Camera 206Ethernet, 640x480 Pixels, 30 fps, Compatibilité:PC, Couleur: , Divers:This product is featured with multi-user level password protection to restrict camera access, Image par seconde:30 Fps, Interface:Ethernet, Logicels inclus:AXIS Camera...
www.commentcamarche.net/guide-achat/axis-network-camera-206-494144-fiche-technique
Résultats pour [Openvpn] pb sur auth user pass verify
Types de réseauxRéseau étendu (WAN)
Un WAN (Wide Area Network ou réseau étendu) interconnecte plusieurs LANs à travers de grandes
distances géographiques de l'ordre de la taille d'un pays ou d'un continent.
Les débits disponibles sur un WAN résultent d'un...
www.commentcamarche.net/contents/initiation/wan.php3
Mots de passeLes mots de passe
Lors de la connexion à un système informatique, celui-ci demande la plupart du temps un
identifiant (en anglais login ou username) et un mot de passe (en anglais password) pour y accéder. Ce couple identifiant/mot de passe
forme...
www.commentcamarche.net/contents/attaques/passwd.php3
RADIUSIntroduction au protocole RADIUS
Le protocole RADIUS (Remote Authentication Dial-In User Service), mis au point
initialement par Livingston, est un protocole d'authentification standard, défini par un certain nombre
de RFC.
Le fonctionnement de...
www.commentcamarche.net/contents/authentification/radius.php3