クライアント証明書が共有されている場合のクライアントログの識別について

[Yutaka Sasaki]

初めまして、OpenVPN初心者です。　ITコンサルティングを生業としております。　お客様で、OpenVPN構築時にクライアント証明書を共有にして、その上でログでクライアントを特定したいという相談をされております。

最初からクライアント証明書を個別にすればよいと思うのですが、現状の共有されたクライアント証明書で、サーバーログの例えばverb設定変更等でログからクライアントを識別する方法はありますでしょうか？

よろしくお願いいたします。

[Taro Yamazaki]

証明書認証の場合はユーザーを特定するための情報源がクライアント証明書になりますので、このクライアント証明書を複数ユーザーで共有した場合はOpenVPNのログでのユーザー特定はできなくなります。
ここはログの詳細度を上げても変わりません。

割り当てられたIPアドレスとNAT/NAPTログなどを組み合わせて追いかけられるデータもありますが、最終的に誰か？までを特定するのは現実的にはなかなか難しいと思います。

やまざき

> --
> このメールは Google グループのグループ「OpenVPN Japan Users Group」に登録しているユーザーに送られています。
> このグループから退会し、グループからのメールの配信を停止するには openvpn-japan-user...@googlegroups.com <mailto:openvpn-japan-user...@googlegroups.com> にメールを送信してください。
> このディスカッションをウェブ上で閲覧するには https://groups.google.com/d/msgid/openvpn-japan-users-group/3a4f3081-3fd2-45ed-8ae6-86aeeb7ce11an%40googlegroups.com <https://groups.google.com/d/msgid/openvpn-japan-users-group/3a4f3081-3fd2-45ed-8ae6-86aeeb7ce11an%40googlegroups.com?utm_medium=email&utm_source=footer> にアクセスしてください。

[Yutaka Sasaki]

やまざきさん

早速のご回答ありがとうございました。

やはり証明書個別に発行した方がいいですね。セキュリティ的にも危ないですし。

ありがとうございました。

佐々木

2022年11月25日金曜日 19:16:35 UTC+9 ta...@plum-systems.co.jp: