![](https://seccdn.libravatar.org/avatar/d1f7487ce08f681f5520074d7839c51c.jpg?s=120&d=mm&r=g)
Gracias Carlos. Estuve probando con éxito la autentificación vía pam No veo en el directorio de trabajo ningún fichero donde aparezca el passord (si el login). Supongo que te refieres a un fichero temporal mientras el cliente hace la conexión. Los permisos que tengo son para el directorio: drwxr-xr-x 4 root root 368 Sep 26 19:44 openvpn/ Y para los ficheros: drwxr-xr-x 3 root root 344 Sep 26 19:52 ./ drwxr-xr-x 71 root root 6944 Sep 26 19:37 ../ -rw-r--r-- 1 root root 1736 Sep 25 13:41 ca.crt -rw------- 1 root root 1679 Sep 25 13:41 ca.key -rw-r--r-- 1 root root 424 Sep 25 13:48 dh2048.pem drwxrwxrwx 5 root root 672 Sep 25 13:41 easy-rsa/ -rw------- 1 root root 127 Sep 26 19:45 ipp.txt -rw------- 1 root root 232 Sep 26 19:51 openvpn-status.log -rw------- 1 root root 57901 Sep 26 19:52 openvpn.log -rw------- 1 ftp ftp 700 Sep 26 19:32 server.conf -rw-r--r-- 1 root root 5261 Sep 25 13:42 server.crt -rw------- 1 root root 1675 Sep 25 13:42 server.key Supongo que estará correcto, pero se admiten sugerencias En cuanto al password desde el cliente gui de windows yo tampoco me fio mucho, pero puede ser una cosa más para añadir como seguridad. Un saludo Ignacio ----- Original Message ----- From: "Carlos Martinez" <camarti@gmail.com> To: <opensuse-es@opensuse.org> Sent: Wednesday, September 26, 2007 7:23 PM Subject: Re: [opensuse-es] Seguridad en openvpn
openvpn tiene la opcion de usar aparte de los certificados, login y password para autenticar a los usuarios, cual permite autenticarlos contra un LDAP, un AD o passwd/shadow/group, o lo que se desee.
Lo malo es que el login/password se almacena en texto claro en un archivo de texto dentro del directorio de trabajo de openvpn mientras se procesa (en el servidor), lo cual puede constituir un problema de seguridad si alguien tiene acceso al servidor. Esto se contrarresta con permisos restringidos sobre el directorio de trabajo de openvpn y un buen script o programa que haga la validacion de la entrada del usuario.
La segunda opcion, es que los usuarios le asignen clave a los certificados de la VPN. Si no me equivoco, OpenVPN GUI permite hacer eso de manera sencilla, de tal forma que si copian los archivos les pedira esa clave. Nunca he evaluado esta opcion ya que me parece muy pobre y dependiente de factores externos. En otras palabras depende de los usuarios, en los cuales por principio basico no se debe confiar, aparte de ser muy olvidadizos con sus claves :)
Hasta la proxima Carlos. --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
--------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org