OpenVPN com integração do Active Directory

Navegue suas respostas
6

Alguém está executando com sucesso o OpenVPN com a integração do Active Directory? Você está usando o openvpn.net ou o openvpn.net/opensource versão do OpenVPN? Alguma dica, truque ou pegadinha ou "apenas funcionou"? (sim, eu vi this How mas às vezes como não são tão simples como eles me procuram).

Histórico: Eu tenho um Cisco Concentrator (série 3000) muito antigo que precisa ser substituído. Eu gostaria que a substituição fosse algo que se integrasse ao usuário / senhas do AD. Eu tenho uma pilha de caixas HP DL320 razoavelmente modernas por aí e isso me levou à idéia do OpenVPN ...

    
por Chris_K 06.01.2010 / 00:56

5 respostas

6

Eu prefiro ter a autenticação OpenVPN contra o PAM (com LDAP ou Kerberos), já que esta é a solução mais flexível. Eu tive a impressão de que o plugin LDAP fornecido pelo OpenVPN é uma solução ad-hoc meio bagunçada - nada comparado com os plug-ins do LDAP ou do Kerberos para o PAM. Eu tive problemas de vez em quando, onde credenciais de usuário adequadas, onde o acesso recusado, uma nova tentativa resolveu esse problema. Minha configuração atual (produção) é autenticada contra o PAM. A pilha do PAM tem o Kerberos (pam_krb5) no topo da autenticação do OpenVPN. Uso diário por quase 100 usuários. Você pode fazer muitas coisas com o PAM (vários mecanismos de autenticação, várias fontes, etc., etc.).

    
por 09.01.2010 / 13:17
7

Com a versão de código aberto, você pode escrever seu próprio script de autenticação usando a opção 'auth-user-pass-verify'.

Eu nunca coloquei em produção, mas eu criei um script que autentica usuários no meu diretório.

Outra opção é o plug-in openvpn-auth-ldap .

    
por 06.01.2010 / 01:16
4

exigimos autenticação AD para nossa instalação openvn (que grupo / OU integração) e o mais fácil foi usar o plug-in radius usando os serviços de autenticação da Internet do Windows (por exemplo, win2003 radius)

não que o auth-ldap não funciona bem, apenas a integração do raio acabou ficando mais fácil para nós trabalharmos (YMMV)

pelo que vale a pena, descoberto em retrospectiva: a oferta comercial - openvpn-AS (ou openvpn.net como você se referiu a ela) - funciona muito bem de fábrica, tanto para radius e autenticação LDAP, quanto para o A taxa de licença é realmente baixa - funciona com conexões simultâneas, em vez de usuários nomeados (em US $ 250,00 para 50 conexões simultâneas com pacotes menores disponíveis). Além disso, o envolvimento do usuário é bem feito e torna o novo usuário e a migração de clientes existentes relativamente indolores.

    
por 09.01.2010 / 14:45
1

Eu implementei uma solução assim:

OpnVPNClient --- > OpenVPNServeur + plugin Radius --- > Windows2003SRV (IAS + AD)

Está funcionando bem!

Você pode encontrá-lo com a pesquisa "blog laurent besson" ...

Este artigo feito de muitos outros, não se esqueça:)

    
por 23.10.2010 / 17:42
-2

Acho que minha única pergunta é por que lidar com VPN aberta quando o MS tem uma solução vpn perfeitamente aceitável embutida. É claro que depende da sua situação, mas meu deus é fácil de implementar.

    
por 09.01.2010 / 15:46

Tags

Um banco de dados vs. vários bancos de dados Como configurar o UNIX ou o Linux para administração via conexão serial