Фэндом

Man вики

OpenVPN с авторизацией в AD

41статья на
этой вики
Добавить новую страницу
комментариев0 Поделиться

ЗадачаПравить

Необходимо обеспечить удаленную работу сотрудникам с ресурсами локальной сети организации

Настройка сервераПравить

apt-get update
apt-get install openvpn-auth-ldap

Для работы сервера нам нужны файлы сертификатов и ключей, если у вас уже имеется настроенный центр сертификации возьмите с него файлы ca.crt и dh1024.pem и для нового сервера с генерируйте srv.crt и srv.key. Все файлы сложим в:

/etc/openvpn/keys

Создадим конфигурацию сервера

proto udp
dev tun
ca keys/ca.crt
cert keys/srv.crt
key keys/srv.key
dh keys/dh1024.pem
server 172.16.32.0 255.255.255.0 # Сеть для клиентов
#push "route 10.0.0.0 255.0.0.0" # Локальная сеть куда надо пустить клиентов
client-cert-not-required
username-as-common-name
plugin /usr/lib/openvpn/openvpn-auth-ldap.so /etc/openvpn/auth-ldap.conf

Создадим конфигурацию ldap плагина

nano /etc/openvpn/auth-ldap.conf
# Параметры подключения к домену
<LDAP>
       URL             ldap://10.0.32.5
       BindDN          user@domail.local
       Password        password
       Timeout         15
</LDAP>
# Параметры авторизации пользователей входящих в группу RemoteAccess которая создана в подразделении Domain Groups в домене
<Authorization>
       BaseDN          "DC=domail,DC=local"
       SearchFilter    "(&(sAMAccountName=%u)(memberOf=CN=RemoteAccess,OU=Domain Groups,DC=domain,DC=local))"
</Authorization>

Настройка клиентаПравить

Клиент должен иметь файл ca.crt (точную копию того, что использует сервер). Кладем его в папку в которой будет файл конфигурации, а затем создадим файл конфигурации клиента

remote 111.111.111.111
proto udp
persist-key
client
dev tun
ca ca.crt
auth-user-pass
nobind

При запуске подключения, будет запрошен логин и пароль. Если введенный логин и пароль верные, а пользователь входит в группу RemoteAccess, то произойдет подключение. Клиент получит адрес из диапазона 172.16.32.0/24 внутренней сети сервера.

Обнаружено использование расширения AdBlock.


Викия — это свободный ресурс, который существует и развивается за счёт рекламы. Для блокирующих рекламу пользователей мы предоставляем модифицированную версию сайта.

Викия не будет доступна для последующих модификаций. Если вы желаете продолжать работать со страницей, то, пожалуйста, отключите расширение для блокировки рекламы.

Также на Фэндоме

Случайная вики