ActiveDirectoryと統合されたOpenVPN
Active Directory統合でOpenVPNを正常に実行している人はいますか? openvpn.net または openvpn.net/opensource バージョンのOpenVPNを使用していますか?ヒント、トリック、落とし穴はありますか、それとも「うまくいきましたか?」 (はい、私は見ました このハウツー しかし時々どのように彼らが私を探すほど単純ではないか)。
バックストーリー:交換が必要な非常に古いCiscoコンセントレータ(3000シリーズ)があります。置換をADユーザー/パスワードと統合するものにしたいのですが。適度にモダンなHP DL320ボックスがたくさん並んでいて、OpenVPNのアイデアに導いた...
これが最も柔軟なソリューションであるため、PAM(LDAPまたはKerberosを使用)に対してOpenVPN認証を使用することをお勧めします。 OpenVPNによって提供されるLDAPプラグインは、ちょっと汚いアドホックソリューションであるという印象を受けました。PAM用のLDAPまたはKerberosプラグインと比較して何もありません。適切なユーザー資格情報でアクセスが拒否され、再試行によってその問題が解決されるという問題が時々ありました。私の現在の(本番)セットアップは、PAMに対して認証されます。 PAMスタックには、OpenVPN認証用にKerberos(pam_krb5)が上にあります。ほぼ100人のユーザーによる毎日の使用。 PAMを使用すると、さまざまなことができます(複数の認証メカニズム、複数のソースなど)。
オープンソースバージョンでは、「auth-user-pass-verify」オプションを使用して独自の認証スクリプトを記述できます。
運用環境には入れませんでしたが、ディレクトリに対してユーザーを認証する作業スクリプトをハッキングしました。
別のオプションは openvpn-auth-ldap プラグインです。
openvnインストール(グループ/ OU統合)にはAD認証が必要であり、最も簡単なのはWindowsインターネット認証サービス(つまりwin2003 radius)を使用したradiusプラグインの使用でした
auth-ldapがうまく機能しないわけではなく、単にradius統合が機能しやすくなった(YMMV)
後知恵で発見された価値のあるもののために:商用製品-openvpn-AS(またはあなたがそれを参照したようにopenvpn.net)-は、半径とLDAP認証の両方で、箱から出して本当にうまく機能し、ライセンス料は非常に低い-指定ユーザーではなく同時接続で動作します(50の同時接続で250ドルで、より小さなバンドルが利用可能です)。また、ユーザーの引き継ぎはうまくまとめられており、新しいユーザーと既存のクライアントの移行を比較的簡単に行うことができます。
私はそのようなソリューションを実装しました:
OpnVPNClient ---> OpenVPNServeur +プラグインRadius ---> Windows2003SRV(IAS + AD)
正常に動作しています!
「bloglaurentbesson」で検索して見つけることができます...
他の多くの人から作られたこの記事は、それを忘れないでください:)