Openvpn password policy

Szerintem nincs ilyenre lehetőség. A privát kulcshoz tartozó jelszó csupán arra jó, hogy megnehezítse az illetéktelen hozzáférést. Módosíthatod ezt a jelszót bármikor, de nem hinném, hogy ezt ki lehet valahogy kényszeríteni bármiféle policy-n keresztül (és hogy ennek lenne valamiféle szabványosított metódusa).

Nem tudom, hogyan konfigurálod az OpenVPN-t szerveroldalon, de az mondjuk nem lenne elfogadható, ha a certificate mellett még lenne egy plusz authentikáció? Mi úgy állítottuk be, hogy egy PAM + winbind + AD kombóval a userek tartományi jelszavával léptetjük be őket (aminél a jelszópolicy a tartomány biztonsági házirendén keresztül szabályozható).

Ha nem Windows környezetet használsz, akkor ugyanezt Sambával is meg lehet oldani.

Kulcs csak lejárni tud.

Olyat tudsz csinálni hogy tls-verify -re csinálsz egy saját pl. C progit amivel kulcsot ellenőrizteted a saját feltételeid szerint, és ha nem felel meg valamelyiknek, akkor false-ot adsz vissza, ergó nem tudja használni.

A lényeg az hogy official megoldás nincsen, mindenképpen saját külső fejlesztés kell hozzá.

olyan nincs, hogy egy nem használt kulcs lejár. Tanusítvány van ( pulsz a hozzá tartozó privát kulcs) és annak van egy érvényességi időtartalma, azon belül a tanúsítvány érvényes. Vissza lehet vonni egy tanúsítványt, ha az kompromittálódot, de úgy nem, hogy nem használták X ideig és akkor visszavonódik.

openvpn-nel lehet olyat csinálni, hogy tanusítvány + user/password.
hint: auth-user-pass

A kulcshoz a jelszót a kliens kezeli, arra nem lesz ráhatásod. Az "x ideje nem használt" dolgot én úgy oldanám meg, hogy a szerver logjából rendszeresen kimazsoláznám azt, hogy ki logolt be az elmúlt x időben, és ezen kívül az összes kulcsot visszavonnám (első körben csak elmozgatnám a helyükről, aztán +y idő múlva csinálnám meg a tényleges visszavonást.