Имеем Active directory, группу openvpn и доменную авторизацию в openvpn. Все работает. Но недавно руководство внесло изменения в регламент, введя понятие временного доступа по openvpn. Для пользователей, которые уходя в командировку например. Доступ ограничен 7 днями. Первым что пришло в голову, это создание временных групп в AD (с ttl равным неделю). Это группа является участником группы openvpn, а в нее саму входит нужный пользователь. То есть получается что-то вида:
userIvan->TempGroupVpnIvan->Openvpn.
Через неделю группа уничтожается, а вместе с ней и связь. Естественно UserIvan теряет связь с Openvpn.
Но! В настройка Openvpn, а точнее в auth-ldap.conf строка поиска выглядит вот так:
<Authorization>
BaseDN «DC=my,DC=domain,DC=ru»
SearchFilter "(&(sAMAccountName=%u)(memberOf=CN=OPENVPN,OU=Users,DC=my,DC=domain,DC=ru))"
</Authorization>
В таком виде Openvpn естественно не видит пользователя userIvan, так как он не является непосредственно членом группы Openvpn. Мне же надо, чтоб и постоянные пользователи могли авторизоваться (они являются членами группы openvpn) так и другие, члены временных групп. Что изменить/добавить в конфиг, чтоб vpn мог смотреть ... как бы это правильно назвать...рекурсивно что ли? Дело в том, что имена временных групп не постоянные. Для каждого пользователя они будут индивидуальны, потому что Ivan уйдет сегодня в отпуск, Petr например завтра. Естественно их нельзя в одну группу кидать, и надо будет создать еще одну группу TempGroupVpnPetr
P.S. Пробовал добавить 1.2.840.113556.1.4.1941. Не помогает. Openvpn говорит нет такого пользователя.
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Похожие темы
- Форум ldap+openvpn seg fault (2018)
- Форум OpenVPN + LDAP (Windows AD) = КАК? (2010)
- Форум Openvpn + ldap (2015)
- Форум OpenVPN & Ldap (2012)
- Форум ad или не-ad? (2012)
- Форум Альтернатива AD (2014)
- Форум Grafana + AD (2021)
- Форум OpenVPN (2012)
- Форум OpenVPN (2023)
- Форум Openvpn (2022)