[Eisfair] [E1] OpenVPN lässt gesperrte User rein

[Armin Weinmann]

Am 15.10.2014 um 14:06 schrieb Olaf Jaehrling:
> Hallo Armin,
>
>
> Am 15.10.2014 10:39, schrieb Armin Weinmann:
>> Am 15.10.2014 um 10:33 schrieb Olaf Jaehrling:
>>>
>>> Wie hast Du den User gesperrt? Das Zertifikat gelöscht?
>>>
>>
>> Nein, wie in der Doku beschrieben
>>
>> OPENVPN2_CLIENT_1_ACTIVE   =  no
>
> Ahh, alles klar.
>>
>> gesetzt, oder habe ich da etwas falsch verstanden?
>
> Jein. Ich würde diese Variable nur bei vorübergehender Sperrung nutzen.

> Als erstes würde ich mal schauen, ob der gesperrte User/Client noch in
> der Datei
> /etc/openvpn/clients
neine, da sind nur die richtigen drin
> zu finden ist. Wenn nein, dann prüfe bitte ob folgende Zeile in deiner
> /etc/openvpn/server.conf steht:
> tls-verify /etc/openvpn/verify
Zeile ist da, nicht auskommentiert.
Da ist mir aber aufgefallen, dass die Datei /etc/openvpn/verify ein 
script zu sein scheint in dem die clients-Datei gegengecheckt wird. Korrekt?

Ich musste User sperren deren Zertifikate evtl. in falsche Hände geraten 
sind (Diebstahl des Laptop) sperren. Da gab es z. B. den Benutzer MM der 
durch MM02 ersetzt wurde. Kann es sein, dass da eine Prüfung zu kurz ist 
und nach MM das OK gegeben wird?

> P.S. Wenn du Clients den Zugang für immer verweigern willst, ist es
> besser die Zertifikate zu löschen.
> (/usr/local/openvpn/keys/$client.crt|csr|key|p12)
>
Speziell in o.e. Fall des Diebstahls bin ich mir ziemlich sicher, dass 
ich die User nicht mehr haben will, das wäre das Löschen eine Option.
Gibts da NEbenwirkungen?
> Ich weiß nicht, ob das über das setup geht, da das setup auch noch
> andere Dateien nutzt. Das müsste ich erst noch überprüfen.
>
Danke Armin