Такая схема, у нас стоит openvpn + двойная аутентификация (LDAP creds + Private Key passphrase). Можно каким то образом проверить, что, тому юзеру, который зашел по LDAPу и преднадлежит сертификат, через который он создает соединение? user1 LDAP creds + user1_cert = success user1 LDAP creds + user100_cert = failed То есть, соединять в том случае, только если юзер ввел свой пароль от лдапа и запускает соединение со своими именымы сертификатами, иначе, если сертификат не является собственным, то обрываем соединение.
Ок, сделал по --client-connect скрипту проверяю common_name (так как у нас common_name и есть логин от LDAP) и username, если они не идентичны, то передаем status 1 далее, тем самым не даем юзеру авторизироваться. Code: #!/bin/bash if [ "$common_name" == "$username" ]; then exit 0 else exit 1 fi ЗЫ: тему можно закрывать.
