OPNsens opnvpn an AD
Einführung
Dieser Leitfaden bietet Informationen zur Konfiguration des OpenVPN Access Servers zur Authentifizierung gegenüber Active Directory (AD) unter Verwendung des Lightweight Directory Access Protocol (LDAP).
Bevor Sie beginnen
- Ein paar hilfreiche Hinweise
Die Standardkonfiguration schützt die Datenkommunikation nicht mit SSL-Verschlüsselung. Dies können Sie mit zusätzlichen Konfigurationen gemäß dem Abschnitt zur Aktivierung von SSL hinzufügen. Windows Server erlaubt in der Regel keine anonymen LDAP-Suchen. Wir empfehlen die Verwendung eines Bind-Benutzers. Nach der Konfiguration synchronisieren die Systeme keine Benutzer. Der OpenVPN Access Server verwendet den LDAP-Server, um Benutzerobjekte nachzuschlagen und das Passwort zu überprüfen. Sie können eine erweiterte Integration hierfür erstellen, indem Sie ein Post-Authentifizierungs-LDAP-Gruppenzuordnungsskript verwenden. OpenVPN Access Server mit LDAP für Active Directory
Hier ist eine kurze Übersicht über den Prozess der Benutzersuche
Der Benutzer authentifiziert sich beim OpenVPN Access Server. Der Access Server nimmt den Benutzernamen und sucht ihn im LDAP-Verzeichnis. Wenn er gefunden wird, überprüft er die Gültigkeit des Passworts. Wenn das Passwort gültig ist, sendet das LDAP-Verzeichnis einige Benutzereigenschaften an den Access Server und eine OK-Nachricht, dass die Anmeldeinformationen übergeben wurden.
Der Access Server überprüft die Benutzerberechtigungen, um den Benutzer zu verbinden, wobei die definierten Berechtigungen erlaubt sind.
Erstellen und konfigurieren Sie einen Bind-Benutzer
Der erste Schritt ist die Erstellung eines Bind-Benutzers, um Benutzernamen nachzuschlagen und Passwörter zu überprüfen. Dieser Bind-Benutzer benötigt nur begrenzten Zugriff.
Öffnen Sie auf Ihrem Active Directory-Server Active Directory-Benutzer und -Computer.
Erweitern Sie Ihre entsprechende Domäne und klicken Sie mit der rechten Maustaste auf Benutzer.
- Wählen Sie Neu > Benutzer.
Geben Sie die Details Ihres neuen Bind-Benutzers für den LDAP-Zugriff des Access Servers ein und klicken Sie auf Weiter. Legen Sie ein Passwort fest, aktivieren Sie das Kontrollkästchen Passwort läuft nie ab, klicken Sie auf Weiter und Fertig stellen. Sie verwenden diesen Bind-Benutzer für den Zugriff des Access Servers auf den LDAP-Server. Als nächstes konfigurieren Sie dies mit dem Access Server.
Konfigurieren Sie den Access Server für die LDAP-Authentifizierung
Hinweis: Für die folgenden Einrichtungsschritte empfehlen wir die Verwendung des Kontos "openvpn". Access Server 2.10 und neuer richten dies mit lokaler Authentifizierung ein. Wenn Sie Fehler oder Probleme mit der LDAP-Konfiguration feststellen, kann das Konto "openvpn" immer noch Zugriff erhalten. In Access Server 2.9 und älter verwendet das Konto die PAM-Authentifizierung, und wenn Sie das Konto "openvpn" deaktiviert haben, indem Sie sein Passwort entfernt haben, können Sie das Passwort über die Befehlszeile neu definieren: passwd openvpn
Verwenden Sie die folgenden Schritte, um die LDAP-Einstellungen in der Admin-Web-Oberfläche von OpenVPN Access Server zu konfigurieren.
Melden Sie sich mit dem administrativen Konto "openvpn" in der Admin-Web-Oberfläche an. Klicken Sie auf Authentifizierung > LDAP. Geben Sie die Adresse Ihres LDAP-Servers, die Details Ihres Bind-Benutzers und die Basis-DN Ihres LDAP-Verzeichnisses ein. Klicken Sie auf Einstellungen speichern. Bevor Sie auf Aktualisierung laufender Server klicken, klicken Sie auf LDAP verwenden. Klicken Sie jetzt auf Aktualisierung laufender Server. Hinweis: Folgendes zeigt ein Beispiel für die Einrichtung mit den LDAP-Feldern:
Primärer Server: 18.123.456.78 (IP-Adresse des Active Directory-Servers) Bind-DN: CN=Bind-Benutzer,CN=Benutzer,DC=domänenname,DC=com (verwenden Sie den distinguishedName Ihres Bind-Benutzers) Passwort: 123qweasd!@# (das Passwort für Ihren Bind-Benutzer, auf nie abgelaufen eingestellt) Basis-DN für Benutzereinträge: CN=Benutzer, DC=domänenname, DC=com (typischerweise entspricht dies dem Bind-DN nach dem Benutzernamen) Benutzerattribut: sAMAccountName (das Benutzerattribut für Active Directory LDAP-Server) Zusätzliche LDAP-Anforderung (Erweitert): memberOf=CN=VPN-Benutzer, CN=Benutzer, DC=domänenname, DC=com (optionale Einstellung zum Filtern nach einer Gruppe wie 'VPN-Benutzer')
OpenVPN Access Server sollte nun Benutzer auf dem LDAP-Server suchen. Beziehen Sie sich auf die Seite zur Fehlerbehebung bei Authentifizierungsproblemen, wenn Sie Probleme haben.
Beschränken Sie den Zugriff auf Benutzer im LDAP-Server und in der Benutzerberechtigungstabelle des OpenVPN Access Servers (optional) Standardmäßig können Benutzer, die im LDAP-Server gefunden wurden, sich beim OpenVPN Access Server authentifizieren, ohne in den Benutzerberechtigungen definiert zu sein. Um den VPN-Zugriff nur auf diejenigen zu beschränken, die sowohl im LDAP-Verzeichnis als auch in den Benutzerberechtigungen definiert sind:
Melden Sie sich in der Admin-Web-Oberfläche an
Klicken Sie auf Benutzerverwaltung > Benutzerberechtigungen. Aktivieren Sie Ja für Benutzerberechtigungseintrag für VPN-Zugriff erforderlich unten auf der Seite. Klicken Sie auf Einstellungen speichern und Aktualisierung laufender Server. Wenn Sie Benutzerberechtigungseinträge benötigen, um VPN-Zugriff zu gewähren, müssen Sie Benutzer sowohl im LDAP-Verzeichnis als auch in der Benutzerberechtigungstabelle des OpenVPN Access Servers hinzufügen.
Wenn Sie dann einen Benutzer haben, der im LDAP-Verzeichnis existiert, aber nicht in der Benutzerberechtigungstabelle, und versucht, sich beim OpenVPN Access Server anzumelden, erhält er keinen Zugriff. Der Benutzer wird abgeleh