RE: [openbsd] Autenticazione a due fattori con OpenVPN

On Sat, 2005-03-19 at 16:33 +0100, Luca Dell'Oca wrote:
> > From: openbsd-bounces@xxxxxxxxxxxxx 
> > [mailto:openbsd-bounces@xxxxxxxxxxxxx] On Behalf Of Valentino 
> > Squilloni - Ouz
> 
> > Hai gia` usato --tls-auth ?
> 
> Si, e anche l'ns-cert-type e lo user nobody per eseguire lato server, ma
> il problema della doppia autenticazione rimane.
> Il sistema attuale in se e' sicuro, ma se un utente perde le chiavi, chi
> ne e' in possesso puo' autenticarsi su openvpn e entrare.
> Invece dovendo digitare insieme al certificato anche utenza e password,
> chi entra in possesso delle chiavi possiede comunque meta' della
> "combinazione". Altrimenti adesso e' come avere un bancomat senza pin...

Intanto quando crei chiave e certificato puoi metterci una bella
password, in modo che anche se l'utente dovesse smarrire le chiavi, c'e'
una protezione, questo non so come va in 2.0, sembra che abbiano fatto
degli script per automatizzare (e in effetti forse e' meglio, creare
certificati e pacchetti per i client windows sopratutto e' macchinoso),
io faccio cosi'

openssl req -new -keyout user.key -out user.csr

Per la doppia autenticazione io direi a questo punto usa authpf, solo
che diventa ancora piu' macchinoso, una volta in lan l'utente dovrebbe
avere solo il permesso di vagare sul firewall, e solo quando si
autentica via ssh modifichi le regole per farlo muovere. Ripeto, non so
se e' una soluzione, ma sembra davvero che tu abbia dei dati molto
sensibili :D

ciao,
fausto