이 인증 방법을 사용하려면 먼저 클라이언트 구성에 인증 사용자 패스 지시문을 추가합니다. 이 응용 프로그램은 당신에게 아름다운 욕실 꾸미기의 갤러리를 보여줍니다.
다음으로 인증 플러그인을 사용하도록 서버를 구성합니다. 이 플러그인은 클라이언트에서 입력 한 사용자 이름/암호를 전달하여 연결을 시도 할 때마다 플러그인을 호출합니다. 인증 플러그인은 실패(1)또는 성공(0)값을 반환하여 클라이언트가 연결할 수 있는지 여부를 제어할 수 있습니다.
스크립트 플러그인 사용
스크립트 플러그인은 서버 측 구성 파일에 인증 사용자 통과 확인 지시문을 추가하여 사용할 수 있습니다. 예를 들어:
auth-user-pass-verify auth-pam.pl via-file
사용할 것입니다 auth-pam.pl 펄 스크립트는 연결 클라이언트의 사용자 이름/암호를 인증합니다. 자세한 내용은 매뉴얼 페이지에서 인증-사용자 패스 확인에 대한 설명을 참조하십시오.
auth-pam.pl 스크립트는 샘플 스크립트 서브디렉토리의 소스 파일 배포에 포함되어 있습니다. 이것은 수학적으로 정확한 유형 계층구조인,강력한 타입을 정의합니다. auth-pam.pl 주로 데모 목적을위한 것입니다. 실제 팸 인증의 경우 아래에 설명된 개체 플러그인을 사용하십시오.
공유 객체 또는 플러그인 사용
공유 객체 또는
plugin /usr/share/openvpn/plugin/lib/openvpn-auth-pam.so login
이렇게 하면 클라이언트가 로그인팸 모듈을 사용하여 입력한 사용자 이름/암호의 유효성을 검사할 수 있습니다.
실제 생산 사용을 위해,그것은 몇 가지 장점을 가지고 있기 때문에,인증-팸 플러그인을 사용하는 것이 좋습니다 auth-pam.pl 스크립트:
- 이 플러그인은 더 나은 보안을 위해 분할 권한 실행 모델을 사용합니다. 또한 루트 읽기 전용 섀도 암호 파일에 대해 인증할 수 있습니다.
- 사용자 이름/암호를 파일이나 환경을 통하지 않고 가상 메모리를 통해 플러그인에 전달할 수 있습니다.
- 씨-컴파일 된 플러그인 모듈은 일반적으로 스크립트보다 빠르게 실행됩니다.
리눅스에서 인증-팸 플러그인을 빌드하려면
사용자 이름/암호 인증을 클라이언트 인증의 유일한 형태로 사용
기본적으로 인증 사용자 패스 확인 또는 서버에서 사용자 이름/암호 확인 플러그인을 사용하면 이중 인증을 사용할 수 있으므로 클라이언트 인증서와 사용자 이름/암호 인증이 모두 성공하여 클라이언트가 인증되도록 해야 합니다.
보안 관점에서 권장하지는 않지만 클라이언트 인증서 사용을 비활성화하고 사용자 이름/암호 인증만 강제 적용할 수도 있습니다. 서버에:
client-cert-not-required
이러한 구성은 일반적으로 설정해야합니다:
username-as-common-name
이 클라이언트 인증서를 통해 인증 된 클라이언트의 일반적인 이름을 사용하는 것처럼 인덱싱 목적으로 사용자 이름을 사용하는 서버를 말할 것이다.
클라이언트 인증서가 필요하지 않은 경우 서버 인증서가 필요하지 않으므로 클라이언트 인증서가 필요하지 않은 경우 클라이언트 구성 파일에서 인증서 및 키 지시문을 제거할 수 있습니다.