Кто-нибудь успешно запускает OpenVPN с интеграцией Active Directory? Вы используете openvpn.net или openvpn.net/opensource версия OpenVPN? Есть какие-нибудь советы, уловки или ошибки, или это "просто сработало"? (да, я видел это как но иногда, как мне кажется, не так просто, как мне кажется).
Предыстория: у меня есть очень старый концентратор Cisco (серии 3000), который нужно заменить. Я бы хотел, чтобы замена была чем-то, что интегрируется с пользователями / паролями AD. У меня есть стопка достаточно современных боксов HP DL320, и это привело меня к идее OpenVPN ...
В версии с открытым исходным кодом вы можете написать свой собственный скрипт аутентификации, используя опцию auth-user-pass-verify.
Я никогда не запускал его в производство, но я собрал рабочий скрипт, который аутентифицирует пользователей по моему каталогу.
Другой вариант - это openvpn-auth-ldap плагин.
Я предпочитаю иметь аутентификацию OpenVPN против PAM (с LDAP или Kerberos), поскольку это наиболее гибкое решение. У меня сложилось впечатление, что подключаемый модуль LDAP, предоставляемый OpenVPN, представляет собой грязное специальное решение - ничто по сравнению с подключаемыми модулями LDAP или Kerberos для PAM. Время от времени у меня возникали проблемы, когда для правильных учетных данных пользователя было отказано в доступе, повторная попытка решила эту проблему. Моя текущая (производственная) установка аутентифицируется по PAM. Стек PAM имеет сверху Kerberos (pam_krb5) для аутентификации OpenVPN. Ежедневно используется почти 100 пользователями. С PAM можно делать много всего (несколько механизмов аутентификации, несколько источников и т. Д.).
нам требуется аутентификация AD для нашей установки openvn (интеграция с группой / OU), и мы обнаружили, что самым простым было использование плагина radius с использованием служб проверки подлинности в Интернете Windows (т.е. радиус win2003)
не то, чтобы auth-ldap плохо работал, просто интеграция радиуса в конечном итоге упростила нам работу (YMMV)
задним числом обнаружено, что оно того стоит: коммерческое предложение - openvpn-AS (или openvpn.net, как вы его назвали) - действительно хорошо работает из коробки как для радиуса, так и для аутентификации LDAP, а лицензионная плата составляет действительно низкий - работает с одновременными подключениями, а не с именованными пользователями (250 долларов за 50 одновременных подключений с доступными меньшими пакетами). Кроме того, пользовательский подход хорошо организован и делает относительно безболезненным новый пользователь и миграцию существующих клиентов.
Я реализовал такое решение:
OpnVPNClient ---> OpenVPNServeur + плагин Radius ---> Windows2003SRV (IAS + AD)
Работает нормально!
Вы можете найти это с помощью поискового запроса "блог лорана бессона" ...
Эта статья сделана из многих других, не забывайте об этом :)
Думаю, у меня единственный вопрос: зачем иметь дело с открытым VPN, когда у MS есть вполне приемлемое встроенное решение vpn. Конечно, это зависит от вашей ситуации, но, боже мой, это легко реализовать.