Seite 3: Administrator- und root-Rechte

Inhaltsverzeichnis

Rechthaberei

OpenVPN benötigt unter anderem zum Konfigurieren der Tunnelendpunkte und dem Setzen der Routen Administratorrechte. Wer unter Windows ohne diese arbeitet, kann folglich OpenVPN nicht ohne weiteres starten. Die notwendigen Rechte verschafft eine Verknüpfung auf dem Desktop mit

runas /u:Administrator openvpn-gui.exe

Das fragt dann beim Start zunächst nach dem Administrator-Kennwort. Will man das dem Anwender nicht geben, wird es etwas komplizierter. Denn es ist zwar möglich, OpenVPN als Dienst zu installieren, den der Anwender dann starten und beenden darf, dieser kann dann aber nicht nach dem Passwort für den Schlüssel fragen. Der Autor von OpenVPN GUI empfiehlt in dieser Situation, den Schlüssel in den MS Certificate Store zu importieren, auf den OpenVPN zugreifen kann (--cryptoapicert).

Mit OpenVPN 2.1, das bereits als beta-Version erhältlich ist, entfallen diese Klimmzüge. Das TAP-Device können darin auch Nicht-Administratoren ansprechen. Zum Setzen der Routen unter XP Professional genügt ohnehin die Mitgliedschaft in der Gruppe der "Netzwerkkonfigurations-Operatoren".

Unter Linux sorgt der sudo-Mechanismus für die notwendigen Root-Rechte:

/usr/bin/sudo /usr/sbin/openvpn /etc/openvpn/client.conf

Damit das ohne Passworteingabe funktioniert, trägt der Administrator über visudo in /etc/sudoers folgende Zeilen ein

User_Alias VPN = ju, dab
VPN  ALL= NOPASSWD: /usr/sbin/openvpn /etc/openvpn/client.conf

ersetzt dabei aber die User-Kennungen ju und dab durch die eigenen.