openvpn + ldap

0

0

Всем привет! подскажите пошаговую инструкцию по настройке subj-a. Сам пакет уже скомпелил и установил с поддержкой ldap. Не понимаю где нужно делать сам include в /etc/openvpn ничего нету. Интересует настройка через авторизию LDAP

Ссылка

←	Посоветуйте движок для вики...

squid - не кеширует ничего

→

Для начала настройте LDAP

~~zgen~~ ★★★★★
(16.02.08 11:11:43 MSK)

Ответ на: комментарий от zgen 16.02.08 11:11:43 MSK

ldap давно уже настроен через него уже дохрена других сервисов настроено

anonymous
(17.02.08 14:52:11 MSK)

Ответ на: комментарий от anonymous 17.02.08 14:52:11 MSK

Тогда что, читать документацию немодно?

http://dpw.threerings.net/projects/openvpn-auth-ldap/

"The config directive must point to an auth-ldap configuration file. An example configuration file is provided with the distribution."

Перечитайте 6 последних слов, прочитайте документацию и задавайте конкретные вопросы, отличающиеся от "у меня ничего не работает"

К слову, у меня настроено и работает.

~~zgen~~ ★★★★★
(18.02.08 03:24:49 MSK)

Ответ на: комментарий от zgen 18.02.08 03:24:49 MSK

я правильно понимаю что для авторизации через ldap просто выдаётся всем клиентам один и тот же сертификат но дополнитенот проводится авторизация через ldap?

anonymous
(18.02.08 14:21:42 MSK)

Ответ на: комментарий от anonymous 18.02.08 14:21:42 MSK

Уважаемый zgen *! Поискал документацию в интернете по auth-ldap - ёё практически нету. Вы моя единственная надежда. Настроил чтобы openvpn авторизовался через сертификаты, все работает. Делаю plugin /etc/openvpn/openvpn-auth-ldap.so "/etc/openvpn/auth-ldap.conf" При старте openvpn говорит auth-ldap(FAILED) server(OK) в syslog Options error: Unrecognized option or missing parameter(s) in /etc/openvpn/auth-ldap.conf:1: <LDAP> (2.0.9) Пробовал запускать с дефолтным конфигом всё то же самое.

нашёл в /src утилиту ./testplugin. запускаю её с моим конфигом она выдает :

LDAP search failed: No such object Authorization Succeed! LDAP search failed: No such object client-connect succeed! LDAP search failed: No such object client-disconnect succeed!

Типо не правильно задан поект что ли? Но с этим же конфигом openvpn-ldap не стартует. Может быть ему обязательно ldap over ssl нужен, у меня просто тестовый ldap без ssl?

Поиск тоже нужно чтобы работал, хочется ограничить доступ в vpn через определённую ldap группу!

Так же не совсем понятно что нужно настраивать в клиенте чтобы он username/password спрашивал при логине?

Заранее спасибо

anonymous
(18.02.08 21:46:14 MSK)

Ответ на: комментарий от anonymous 18.02.08 21:46:14 MSK

Уважаемый анонимус!

Документация идет в КОМПЛЕКТЕ к плагину.

Если вы хотите, чтобы я вам помог, то показывайте свой конфиг.

Типо вы ldap не настроили, доки к плагину не прочитали, доки к openvpn тоже забыли, и хотите, чтобы вам разжевали и в рот положили?

смешно. Вы ж поймите, вам все равно придется доки читать, даже если я вам готовое решение дам!

~~zgen~~ ★★★★★
(18.02.08 21:50:25 MSK)

Ответ на: комментарий от zgen 18.02.08 21:50:25 MSK

openvpn.conf:

plugin /usr/local/lib/openvpn-auth-ldap.so "/usr/local/etc/ovpn-oldap.conf"

ovpn-oldap.conf:

<LDAP>
URL ldap://localhost
BindDN cn=Manager,dc=xxx,dc=yyy
Password 1234567
Timeout 10
</LDAP>

<Authorization>
# Base DN
BaseDN "ou=Users,dc=xxx,dc=yyy"

# User Search Filter
SearchFilter "(&(uid=%u)(objectClass=posixAccount)(objectClass=sambaSamAccount))"

# Require Group Membership
RequireGroup true

<Group>
BaseDN "ou=Groups,dc=xxx,dc=yyy"
SearchFilter "(cn=openvpn-msk)"
MemberAttribute member
</Group>
</Authorization>

~~zgen~~ ★★★★★
(18.02.08 21:53:27 MSK)

Ответ на: комментарий от zgen 18.02.08 21:53:27 MSK

на клиенте ovpn.conf:

auth-user-pass

Отвечает за запрос login/pass

на сервере openvpn.conf:
client-cert-not-required
username-as-common-name

Радуйтесь. И идите читать доки, потому что без понимания что и для чего, вы даже имея сей рабочий конфиг нифига не настроите.

~~zgen~~ ★★★★★
(18.02.08 21:56:14 MSK)

Ссылка

Ответ на: комментарий от anonymous 18.02.08 14:21:42 MSK

Сертификаты и ключи разные бывают, одни нужны для защиты от DoS, другие - для авторизации.

Выше есть строчка, которая явно говорит, что можно пользовательским сертификатом не пользоваться.

~~zgen~~ ★★★★★
(18.02.08 21:57:35 MSK)

Ответ на: комментарий от zgen 18.02.08 21:57:35 MSK

Спасибо за советы.

Я прочитал все две строчки которые указаны в мануале и сделал следующее: Просто напросто у меня сразу появляются ошибки :

/etc/openvpn/openvpn-auth-ldap.so "/etc/openvpn/auth-ldap.conf"

Конфиг дефолтный тот который лежит в исходниках. При рестарте openvpn - auth-ldap(FAILED) server(OK)

syslog:

ovpn-auth-ldap[25327]: Options error: Unrecognized option or missing parameter(s) in /etc/openvpn/auth-ldap.conf:1: <LDAP>

Возможно дело в том что я собирал плагин c участием сорцов от openvpn 2.0.9 а у меня в системе стоит пакет 2.0.9-4etch1.

Не судите меня строго

anonymous
(19.02.08 17:51:43 MSK)

Ответ на: комментарий от anonymous 19.02.08 17:51:43 MSK

>Возможно дело в том что я собирал плагин c участием сорцов от openvpn 2.0.9 а у меня в системе стоит пакет 2.0.9-4etch1.

именно в этом.

~~zgen~~ ★★★★★
(20.02.08 09:55:48 MSK)

Ответ на: комментарий от zgen 20.02.08 09:55:48 MSK

Спасибо! Как только я стал использовать правильный VPN так всё сразу заработало. Даже ldap over TLS заработал. Остался только вопрос можно ли привязать конкретные ip адреса к uid пользователям или как то это подругому сделать.

Или вообще к чему можно привязать ip-ки которые выдаются? Хотелось бы к логину.

Заранее спасибо.

anonymous
(21.02.08 13:56:19 MSK)

Ответ на: комментарий от anonymous 21.02.08 13:56:19 MSK

>Остался только вопрос можно ли привязать конкретные ip адреса к uid пользователям

можно, а теперь марш читать доки - начните с faq'а, там все написано.

~~zgen~~ ★★★★★
(21.02.08 22:47:55 MSK)