ФЭНДОМ


ЗадачаПравить

Необходимо обеспечить удаленную работу сотрудникам с ресурсами локальной сети организации

Настройка сервераПравить

apt-get update
apt-get install openvpn-auth-ldap

Для работы сервера нам нужны файлы сертификатов и ключей, если у вас уже имеется настроенный центр сертификации возьмите с него файлы ca.crt и dh1024.pem и для нового сервера с генерируйте srv.crt и srv.key. Все файлы сложим в:

/etc/openvpn/keys

Создадим конфигурацию сервера

proto udp
dev tun
ca keys/ca.crt
cert keys/srv.crt
key keys/srv.key
dh keys/dh1024.pem
server 172.16.32.0 255.255.255.0 # Сеть для клиентов
#push "route 10.0.0.0 255.0.0.0" # Локальная сеть куда надо пустить клиентов
client-cert-not-required
username-as-common-name
plugin /usr/lib/openvpn/openvpn-auth-ldap.so /etc/openvpn/auth-ldap.conf

Создадим конфигурацию ldap плагина

nano /etc/openvpn/auth-ldap.conf
# Параметры подключения к домену
<LDAP>
       URL             ldap://10.0.32.5
       BindDN          user@domail.local
       Password        password
       Timeout         15
</LDAP>
# Параметры авторизации пользователей входящих в группу RemoteAccess которая создана в подразделении Domain Groups в домене
<Authorization>
       BaseDN          "DC=domail,DC=local"
       SearchFilter    "(&(sAMAccountName=%u)(memberOf=CN=RemoteAccess,OU=Domain Groups,DC=domain,DC=local))"
</Authorization>

Настройка клиентаПравить

Клиент должен иметь файл ca.crt (точную копию того, что использует сервер). Кладем его в папку в которой будет файл конфигурации, а затем создадим файл конфигурации клиента

remote 111.111.111.111
proto udp
persist-key
client
dev tun
ca ca.crt
auth-user-pass
nobind

При запуске подключения, будет запрошен логин и пароль. Если введенный логин и пароль верные, а пользователь входит в группу RemoteAccess, то произойдет подключение. Клиент получит адрес из диапазона 172.16.32.0/24 внутренней сети сервера.