Назад | Перейти на главную страницу

OpenVPN с LDAP через TLS (ldaps)

OpenVPN использует плагин openvpn-auth-ldap

У меня работает сервер LDAP (ApacheDS):

Открыть / Очистить - ldap: //server.example.com: 10399

Зашифрованный - ldaps: //server.example.com: 10686

Я могу подключиться и пройти аутентификацию без проблем с использованием открытого текста (незашифрованного), но не могу общаться с сервером через TLS.

Я подключаюсь к этому серверу через TLS через различные другие системы (наш репозиторий кода, jenkins и т. Д. Все аутентифицируются по протоколу Encrypted ldaps через порт 10686, поэтому я знаю, что сервер отлично отвечает через TLS. Он использует самозаверяющие сертификаты, но это не так. Пока не было проблем с подключением к нему других сервисов.

Судя по файлам журналов ниже, TLSEnable Директива запускает функцию StartTLS, которую я не хочу. Несмотря на это, я все еще экспериментировал с его использованием ...

Различные конфигурации, которые я пробовал:

РАБОТАЕТ: (в незашифрованном виде)

<LDAP>
        URL             ldap://server.example.com:10399
        Timeout         10
        TLSEnable       no
        FollowReferrals yes
</LDAP>

НЕ РАБОТАЕТ:

<LDAP>
        URL             ldaps://server.example.com:10686
        Timeout         10
        TLSEnable       yes
        FollowReferrals yes
</LDAP>

Журнал:

Nov 28 18:05:47 openvpn1 ovpn-server[3282]: Unable to enable STARTTLS: Can't contact LDAP server
Nov 28 18:05:47 openvpn1 ovpn-server[3282]: LDAP connect failed.
Nov 28 18:05:47 openvpn1 ovpn-server[3282]: x.x.x.x:19939 PLUGIN_CALL: POST /etc/openvpn/openvpn-auth-ldap.so/PLUGIN_AUTH_USER_PASS_VERIFY status=1
Nov 28 18:05:47 openvpn1 ovpn-server[3282]: x.x.x.x:19939 PLUGIN_CALL: plugin function PLUGIN_AUTH_USER_PASS_VERIFY failed with status 1: /etc/openvpn/openvpn-auth-ldap.so
Nov 28 18:05:47 openvpn1 ovpn-server[3282]: x.x.x.x:19939 TLS Auth Error: Auth Username/Password verification failed for peer
Nov 28 18:05:47 openvpn1 ovpn-server[3282]: x.x.x.x:19939 SIGTERM[soft,auth-control-exit] received, client-instance exiting

ТАКЖЕ НЕ РАБОТАЕТ:

<LDAP>
        URL             ldaps://server.example.com:10686
        Timeout         10
        TLSEnable       no
        FollowReferrals yes
</LDAP>

Журнал:

Nov 28 18:17:42 openvpn1 ovpn-server[3412]: LDAP search failed: Can't contact LDAP server ((unknown error code))
Nov 28 18:17:42 openvpn1 ovpn-server[3412]: LDAP user "myuser" was not found.
Nov 28 18:17:42 openvpn1 ovpn-server[3412]: x.x.x.x:20248 PLUGIN_CALL: POST /etc/openvpn/openvpn-auth-ldap.so/PLUGIN_AUTH_USER_PASS_VERIFY status=1
Nov 28 18:17:42 openvpn1 ovpn-server[3412]: x.x.x.x:20248 PLUGIN_CALL: plugin function PLUGIN_AUTH_USER_PASS_VERIFY failed with status 1: /etc/openvpn/openvpn-auth-ldap.so
Nov 28 18:17:42 openvpn1 ovpn-server[3412]: x.x.x.x:20248 TLS Auth Error: Auth Username/Password verification failed for peer

ТАКЖЕ НЕ РАБОТАЕТ:

<LDAP>
        URL             ldap://server.example.com:10686
        Timeout         10
        TLSEnable       yes
        FollowReferrals yes
</LDAP>

Журнал:

Nov 28 18:02:47 openvpn1 ovpn-server[3232]: Unable to enable STARTTLS: Can't contact LDAP server
Nov 28 18:02:47 openvpn1 ovpn-server[3232]: LDAP connect failed.
Nov 28 18:02:47 openvpn1 ovpn-server[3232]: x.x.x.x:22910 PLUGIN_CALL: POST /etc/openvpn/openvpn-auth-ldap.so/PLUGIN_AUTH_USER_PASS_VERIFY status=1
Nov 28 18:02:47 openvpn1 ovpn-server[3232]: x.x.x.x:22910 PLUGIN_CALL: plugin function PLUGIN_AUTH_USER_PASS_VERIFY failed with status 1: /etc/openvpn/openvpn-auth-ldap.so
Nov 28 18:02:47 openvpn1 ovpn-server[3232]: x.x.x.x:22910 TLS Auth Error: Auth Username/Password verification failed for peer
Nov 28 18:02:48 openvpn1 ovpn-server[3232]: x.x.x.x:22910 Control Channel: TLSv1.2, cipher TLSv1/SSLv3 DHE-RSA-AES256-GCM-SHA384
Nov 28 18:02:48 openvpn1 ovpn-server[3232]: x.x.x.x:22910 Peer Connection Initiated with [AF_INET]108.47.9.178:22910
Nov 28 18:02:48 openvpn1 ovpn-server[3232]: x.x.x.x:22910 SIGTERM[soft,auth-control-exit] received, client-instance exiting

ТАКЖЕ НЕ РАБОТАЕТ:

<LDAP>
        URL             ldap://server.example.com:10686
        Timeout         10
        TLSEnable       no
        FollowReferrals yes
</LDAP>

Журнал:

Nov 28 18:21:07 openvpn1 ovpn-server[3462]: LDAP search failed: Can't contact LDAP server
Nov 28 18:21:07 openvpn1 ovpn-server[3462]: LDAP user "myuser" was not found.
Nov 28 18:21:07 openvpn1 ovpn-server[3462]: x.x.x.x:2946 PLUGIN_CALL: POST /etc/openvpn/openvpn-auth-ldap.so/PLUGIN_AUTH_USER_PASS_VERIFY status=1
Nov 28 18:21:07 openvpn1 ovpn-server[3462]: x.x.x.x:2946 PLUGIN_CALL: plugin function PLUGIN_AUTH_USER_PASS_VERIFY failed with status 1: /etc/openvpn/openvpn-auth-ldap.so
Nov 28 18:21:07 openvpn1 ovpn-server[3462]: x.x.x.x:2946 TLS Auth Error: Auth Username/Password verification failed for peer