[Tutorial] Autenticando o OpenVPN no Active Directory

[marceloleaes]

Quando um usuário deve ser autenticado através de um módulo de autenticação externa como o Active Directory ou LDAP não é necessário criar esse usuário localmente como uma conta EndianVPN ( localmente ). Tenha em mente que todas as opções globais especificadas na aba VPN -> Avançado serão aplicadas a todos os usuários autenticados. No entanto, se você quiser configurar as opções de VPN específicas que se aplicam somente a um único usuário ( como as informações de roteamento ), você vai precisar criar esse usuário como um usuário EndianVPN ( localmente ).

Vamos ao passo a passo para autenticar no Active Directory ?

1 - Backup do arquivo de configuração original

Código: Selecionar todos

root@endian~#: cp /var/efw/openvpn/settings /var/efw/openvpn/settings.backup

2 - Adicionar as configurações de autenticação do Active Directory

Código: Selecionar todos

root@endian~#: nano /var/efw/openvpn/settings

AUTHENTICATION_STACK=ldap,local
LDAP_URI=ldap://192.168.0.1 ( Ou o nome DNS do AD, adicione uma entrada no hosts do Endian )
LDAP_BIND_DN=cn=Administrator,cn=Users,dc=servidor01,dc=contoso,dc=local
LDAP_BIND_PASSWORD=senhadoAdministrator
LDAP_USER_BASEDN=cn=Users,dc=servidor01,dc=contoso,dc=local
LDAP_USER_SEARCHFILTER=(&(objectCategory=person)(objectClass=user)(sAMAccountName=%(u)s))

3 - Reinicie o serviço do OpenVPN

Código: Selecionar todos

/etc/init.d/openvpn restart

Ou através da interface web 

Agora é testar... estando tudo certo suas conexões já serão autenticadas pelo AD.

Bom proveito 

[eddie]

Marcelo, Tudo bem, Como vai?

Ótimo post Marcelo agradeço muito a equipe ITPB.ORG pela ajuda e pela troca de experiência de todos que fazem parte da comunidade, sem mais delongas vamos ao que interessa, como seria a configuração ao invés de ser por usuário e sim por grupo (gg_vpn), e dentro do grupo adicionaríamos todos os usuários para se conectar, poderia ficar mais interessante e mais fácil de administrar por grupo de que por usuário, tem condição para ser realizado?
Minha dúvida é que estou realizando um levantamento para modificar um ambiente, mudar de isa server 2006 para endian, o ambiente é crítico nada de paradas e testes em produção tem que ser na vera mesmo, todas as dúvidas sanadas.
Obs: Ambiente com 450 maquinas, sem gasto de compra de appliance, e se for compra eu estou recomendado Fortgate.

Desde já agradeço pela atenção.

[marceloleaes]

Tudo ótimo, e porai ?

Por questão de organização no AD talvez, lembrando que sem o CA nenhum usuário tem acesso a VPN 
Neste caso, bastaria incrementar a consulta LDAP usando: (memberOf=CN=gg_vpn,CN=users,DC=contoso,DC=local)
Assim ele só vai buscar quem fizer parte do grupo gg_vpn

[eddie]

Valeu Marcelo, muito obrigado, mais como o negocio é segurança isso pelo menos reforça mais, sabe como é por mais que você gerencie bem tem sempre o " usuário " que da noite para o dia o cara vira Hacker.

Grato pela atenção.

[bonini]

Bom dia , eu fiz conforme o tutorial ,mas nã estou conseguindo acessar ,tem algo de errado no meu arquivo ?

AUTHENTICATION_STACK=ldap,local
LDAP_BIND_DN=cn=Administrador,cn=Users,dc=lvcampo,dc=com,dc=br
LDAP_BIND_PASSWORD=xxxxx
LDAP_URI=ldap://192.168.0.8
LDAP_USER_BASEDN=cn=Users,dc=lvcampo,dc=com,dc=br
LDAP_USER_SEARCHFILTER=(&(objectCategory=person)(objectClass=user)(sAMAccountName=%(u)s))
OPENVPN_ENABLED=on
PURPLE_DEVICE=tap0
PURPLE_IP_BEGIN=192.168.0.170
PURPLE_IP_END=192.168.0.190