Назад | Перейти на главную страницу

Как я могу заставить мой сервер OpenVPN, работающий под управлением OpenBSD 4.3, проходить аутентификацию в моем домене Windows?

Я погуглил повсюду, но ни одна из страниц, с которыми я столкнулся, не содержит пошагового руководства, показывающего, как это настроить. Я не являюсь мастером Linux (хотя я усердно работаю, чтобы расширить свои знания о нем), и мне нужно пройти через, как это настроить.

Я знаю такие вещи, как openldap, а что нет, но мне все еще нужно видеть каждый шаг, который мне нужно выполнить в течение всего процесса, который я не смог найти.

Если кто-нибудь может помочь, я буду очень признателен.

Спасибо!

Изменить: извините, это OpenBSD 4.3

Ниже приведены мои примечания по авторизации OpenVPN вне AD через сервер RADIUS. Все инструкции основаны на Red Hat. Прошло много времени с тех пор, как я это делал, но насколько я помню, вы делаете это:

  1. Добавить файлы PAM

    • cd /location/of/openvpn-x.x._rcx/plugin/auth-pam
    • делать
    • sudo cp openvpn-auth-pam.so / etc / openvpn /
    • sudo cp openvpn-auth-pam.so / lib / безопасность
    • Загрузите модуль pam_radius_auth (потребуется отредактировать файл .spec, чтобы указать, какая папка / файл raddb, а затем скомпилировать его)
    • cp новый модуль pam_radius_auth в / lib / security /

  2. vi / и т. д. / raddb / сервер

    • radius_server1_ip radius_server1_secret
    • radius_server2_ip radius_server2_secret (если вам нужны резервные серверы)
    • Настройте, какие группы вы хотите иметь доступ к нему через AD и настройку RADIUS

  3. vi /etc/pam.d/openvpn-auth

    • требуется авторизация /lib/security/pam_radius_auth.so отладка
    • достаточно учетной записи /lib/security/pam_permit.so
    • сеанса достаточно /lib/security/pam_permit.so

  4. Установите модули PAM

    • vi server.conf
    • плагин /etc/openvpn/openvpn-auth-pam.so /etc/pam.d/openvpn-auth

Возможно, все немного изменилось с тех пор, как я это сделал, но это должно, по крайней мере, направить вас в правильном направлении.

Похоже, вы планируете аутентифицироваться на основе имени пользователя и пароля?

В последний раз, когда мне приходилось настраивать что-то подобное, я использовал авторизация-пользователь-пароль-проверка вариант. Он сообщает OpenVPN передать входящее имя пользователя и пароль в настраиваемый сценарий, чтобы затем предоставить или запретить доступ на основе кода возврата из сценария.

Это довольно удобное решение, так как обычно можно ожидать, что выбранный вами язык сценариев будет иметь хороший набор модулей для различных видов аутентификации. Это также очень гибкое решение для определения критериев аутентификации.

Предполагая, что домен Windows является Active Directory, возможно, вы захотите основать свой скрипт на упрощенном модуле аутентификации Kerberos? В конце концов, единственный ответ, который вам нужен, - это правда или ложь.

В любом случае авторизация-пользователь-пароль-проверка опция довольно хорошо документирована на странице руководства openvpn (8).