LAB Linux in heterogenen Netzen OPENVPN mit LDAP User-Authentication

Aus Xinux Wiki
Zur Navigation springen Zur Suche springen

Installation auf der Firewall

  • sudo apt install openvpn openvpn-auth-ldap

Zum Testen

  • sudo apt install ldap-utils

Auf dem Domain Controller

  • Gruppe vpnuser erstellen
  • Benutzer die VPN nutzen sollen hinzufügen
  • Benutzer vpnservice erstellen

Server

Create DH Key

  • cd /etc/openvpn
  • openssl dhparam -out dh2048.pem 2048

Zertifikate

  • Wir brauchen eine ca.crt, ein firewall.lab34.linuggs.crt und einen firewall.lab34.linuggs.de.key
  • Kann man beispielsweise so erledigen.

Zertifikate für openvpn

Server Config

  • vi /etc/openvpn/homeoffice.conf
dev tun
mode server
tls-server
port 1194
topology subnet
server 172.31.2.0 255.255.255.0
push "route 172.26.52.0 255.255.252.0"
push "dhcp-option DOMAIN lab34.linuggs.de"
push "dhcp-option DNS  172.26.54.2"
cipher AES-256-CBC
link-mtu 1542
status /tmp/cool-vpn.status
keepalive 10 30
client-to-client
max-clients 150
verb 3
dh /etc/openvpn/dh2048.pem
ca /etc/openvpn/ca.crt
cert /etc/openvpn/firewall.lab34.linuggs.de.crt
key /etc/openvpn/firewall.lab34.linuggs.de.key
client-cert-not-required
compress
persist-key
persist-tun
client-config-dir client
username-as-common-name
plugin /usr/lib/openvpn/openvpn-auth-ldap.so /etc/openvpn/auth-ldap.conf login
script-security 3

Wir brauchen die CA-cert der ADS

Irgendwie besorgen
  • cp /home/kit/lab34-ca.cer /etc/openvpn/lab34-ca.crt
  • cp /home/kit/lab34-ca.cer /etc/ldap/lab34-ca.crt

Kleine Anpassungen

Wir müssen den Domaincontroller auflösen können
  • cat /etc/resolv.conf
nameserver 172.26.54.2
nameserver 2a02:24d8:71:3036::2
search lab34.linuggs.de
Zum Testen der Ldap Verbindung
  • cat /etc/ldap/ldap.conf
BASE    dc=lab34,dc=linuggs,dc=de
URI     ldaps://win2022.lab34.linuggs.de
LDAPDEBUG 1
TLS_CACERT    /etc/ldap/lab34-ca.crt

In welchen Gruppe ist Rudi?

  • ldapsearch -LLL -x -D cn=vpnservice,cn=Users,dc=lab34,dc=linuggs,dc=de -w 12345-Xinux -b dc=lab34,dc=linuggs,dc=de "(cn=rudi)" memberOf
dn: CN=rudi,CN=Users,DC=lab34,DC=linuggs,DC=de
memberOf: CN=vpnuser,CN=Users,DC=lab34,DC=linuggs,DC=de
memberOf: CN=mailuser,CN=Users,DC=lab34,DC=linuggs,DC=de
memberOf: CN=gg_wiki,CN=Users,DC=lab34,DC=linuggs,DC=de

auth-ldap.conf

<LDAP>
        URL             ldaps://win2022.lab34.linuggs.de
        BindDN          "cn=vpnservice,cn=Users,dc=lab34,dc=linuggs,dc=de"
        Password        "12345-Xinux"
        Timeout         15
        TLSEnable       no
        FollowReferrals no
        TLSCACertFile   /etc/openvpn/lab34-ca.crt
</LDAP>

<Authorization>
        BaseDN          "dc=vulkan,dc=int"
        SearchFilter   "(&(sAMAccountName=%u)(memberOf=CN=vpnuser,CN=Users,DC=lab34,DC=linuggs,DC=de))"
        RequireGroup    false
</Authorization>

Client

Client Config

port 5000
dev tun0
remote neo.harirbo.net
tls-client
cipher AES-256-CBC
link-mtu 1542
mssfix 1450
pull
compress
verb 3
auth-user-pass
setenv CLIENT_CERT 0
<ca>
-----BEGIN CERTIFICATE-----
place your cacert here
-----END CERTIFICATE-----
</ca>
Abgerufen von „http://wiki.ixheim.de/index.php?title=LAB_Linux_in_heterogenen_Netzen_OPENVPN_mit_LDAP_User-Authentication&oldid=57135