openvpn + ldap

Для начала настройте LDAP

ldap давно уже настроен через него уже дохрена других сервисов настроено

Тогда что, читать документацию немодно?

http://dpw.threerings.net/projects/openvpn-auth-ldap/

"The config directive must point to an auth-ldap configuration file. An example configuration file is provided with the distribution."

Перечитайте 6 последних слов, прочитайте документацию и задавайте конкретные вопросы, отличающиеся от "у меня ничего не работает"

К слову, у меня настроено и работает.

я правильно понимаю что для авторизации через ldap просто выдаётся всем клиентам один и тот же сертификат но дополнитенот проводится авторизация через ldap?

Уважаемый zgen *! Поискал документацию в интернете по auth-ldap - ёё практически нету. Вы моя единственная надежда. Настроил чтобы openvpn авторизовался через сертификаты, все работает. Делаю plugin /etc/openvpn/openvpn-auth-ldap.so "/etc/openvpn/auth-ldap.conf" При старте openvpn говорит auth-ldap(FAILED) server(OK) в syslog Options error: Unrecognized option or missing parameter(s) in /etc/openvpn/auth-ldap.conf:1: <LDAP> (2.0.9) Пробовал запускать с дефолтным конфигом всё то же самое.

нашёл в /src утилиту ./testplugin. запускаю её с моим конфигом она выдает :

LDAP search failed: No such object Authorization Succeed! LDAP search failed: No such object client-connect succeed! LDAP search failed: No such object client-disconnect succeed!

Типо не правильно задан поект что ли? Но с этим же конфигом openvpn-ldap не стартует. Может быть ему обязательно ldap over ssl нужен, у меня просто тестовый ldap без ssl?

Поиск тоже нужно чтобы работал, хочется ограничить доступ в vpn через определённую ldap группу!

Так же не совсем понятно что нужно настраивать в клиенте чтобы он username/password спрашивал при логине?

Заранее спасибо

Уважаемый анонимус!

Документация идет в КОМПЛЕКТЕ к плагину.

Если вы хотите, чтобы я вам помог, то показывайте свой конфиг.

Типо вы ldap не настроили, доки к плагину не прочитали, доки к openvpn тоже забыли, и хотите, чтобы вам разжевали и в рот положили?

смешно. Вы ж поймите, вам все равно придется доки читать, даже если я вам готовое решение дам!

openvpn.conf:

plugin /usr/local/lib/openvpn-auth-ldap.so "/usr/local/etc/ovpn-oldap.conf"

ovpn-oldap.conf:

<LDAP>
URL ldap://localhost
BindDN cn=Manager,dc=xxx,dc=yyy
Password 1234567
Timeout 10
</LDAP>

<Authorization>
# Base DN
BaseDN "ou=Users,dc=xxx,dc=yyy"

# User Search Filter
SearchFilter "(&(uid=%u)(objectClass=posixAccount)(objectClass=sambaSamAccount))"

# Require Group Membership
RequireGroup true

<Group>
BaseDN "ou=Groups,dc=xxx,dc=yyy"
SearchFilter "(cn=openvpn-msk)"
MemberAttribute member
</Group>
</Authorization>

на клиенте ovpn.conf:

auth-user-pass

Отвечает за запрос login/pass

на сервере openvpn.conf:
client-cert-not-required
username-as-common-name

Радуйтесь. И идите читать доки, потому что без понимания что и для чего, вы даже имея сей рабочий конфиг нифига не настроите.

Сертификаты и ключи разные бывают, одни нужны для защиты от DoS, другие - для авторизации.

Выше есть строчка, которая явно говорит, что можно пользовательским сертификатом не пользоваться.

Спасибо за советы.

Я прочитал все две строчки которые указаны в мануале и сделал следующее: Просто напросто у меня сразу появляются ошибки :

/etc/openvpn/openvpn-auth-ldap.so "/etc/openvpn/auth-ldap.conf"

Конфиг дефолтный тот который лежит в исходниках. При рестарте openvpn - auth-ldap(FAILED) server(OK)

syslog:

ovpn-auth-ldap[25327]: Options error: Unrecognized option or missing parameter(s) in /etc/openvpn/auth-ldap.conf:1: <LDAP>

Возможно дело в том что я собирал плагин c участием сорцов от openvpn 2.0.9 а у меня в системе стоит пакет 2.0.9-4etch1.

Не судите меня строго

>Возможно дело в том что я собирал плагин c участием сорцов от openvpn 2.0.9 а у меня в системе стоит пакет 2.0.9-4etch1.

именно в этом.

Спасибо! Как только я стал использовать правильный VPN так всё сразу заработало. Даже ldap over TLS заработал. Остался только вопрос можно ли привязать конкретные ip адреса к uid пользователям или как то это подругому сделать.

Или вообще к чему можно привязать ip-ки которые выдаются? Хотелось бы к логину.

Заранее спасибо.

>Остался только вопрос можно ли привязать конкретные ip адреса к uid пользователям

можно, а теперь марш читать доки - начните с faq'а, там все написано.

дока openvpn или доки authldap?