Como adicionar autenticação de senha ao servidor OpenVPN em funcionamento?

1

Eu já estou trabalhando no servidor OpenVPN, que conecta 25 filiais. Config está abaixo. Nossa empresa tem desenvolvedores terceirizados e precisam acessar servidores na DMZ. Como eu adiciono N número de usuários (desenvolvedores) e faço autenticação baseada em senha para eles, além desta configuração? Mais preferencialmente usuários do Active Directory.

port 1194
proto udp
dev tun

ca /etc/openvpn/easy-rsa/keys/ca.crt
cert /etc/openvpn/easy-rsa/keys/server.crt
key /etc/openvpn/easy-rsa/keys/server.key
dh /etc/openvpn/easy-rsa/keys/dh1024.pem
tls-server
tls-auth /etc/openvpn/easy-rsa/keys/ta.key 0
tls-timeout 120
auth SHA1
cipher BF-CBC

server 10.255.1.0 255.255.255.0

client-config-dir /etc/openvpn/ccd

route   10.2.0.0        255.255.0.0
route   10.3.0.0        255.255.0.0
route   10.4.0.0        255.255.0.0
route   10.5.0.0        255.255.0.0
route   10.6.0.0        255.255.0.0
route   10.10.0.0       255.255.0.0
route   10.8.0.0        255.255.0.0
route   10.27.0.0       255.255.0.0
route   10.7.0.0        255.255.0.0
route   10.11.0.0       255.255.0.0
route   10.12.0.0       255.255.0.0
route   10.13.0.0       255.255.0.0
route   10.14.0.0       255.255.0.0
route   10.15.0.0       255.255.0.0
route   10.16.0.0       255.255.0.0
route   10.17.0.0       255.255.0.0
route   10.18.0.0       255.255.0.0
route   10.19.0.0       255.255.0.0
route   10.20.0.0       255.255.0.0
route   10.21.0.0       255.255.0.0
route   10.22.0.0       255.255.0.0
route   10.23.0.0       255.255.0.0
route   10.24.0.0       255.255.0.0
route   10.25.0.0       255.255.0.0
#route  10.255.1.0      255.255.255.0

push "route 10.1.0.0 255.255.254.0"
push "route 10.1.200.0 255.255.255.0"



keepalive 10 120
comp-lzo
max-clients 255
client-to-client
user nobody
group nobody
persist-key
persist-tun
status /var/log/openvpn/openvpn-status.log
log /var/log/openvpn/openvpn.log
verb 3
mute 20

ifconfig-pool-persist ipp.txt
    
por epema 28.09.2014 / 17:38

1 resposta

1

Você precisa usar um plug-in. Existe um plugin auth-ldap, e também um plugin auth-pam (eu usei apenas o último). As opções de configuração relevantes são:

plugin /usr/lib/openvpn/openvpn-plugin-auth-ldap.so <config-file>
username-as-common-name  # These two allow authentication
client-cert-not-required # without a client certificate, if you want
duplicate-cn # Allow the same client cert or same user/password to connect multiple times

Isso é muito bonito!

    
por 30.09.2014 / 08:56