openvpn ldap fix user ip

Это тот анонимус, которому я уже отвечал, которому я уже дал ВСЕ конфиги, и который все равно не хочет читать документацию?

Это анонимус который прочитал все предыдущие посты анонимуса и у него все получилось кроме пока что привязки IP адресов.

>и у него все получилось кроме пока что привязки IP адресов.
>>Так же хочется запретить соединятся с сервером если нет привязки username <-> ip.

Вы не похожи на другого анонимуса, потому что вопросы задаете те же. :)
Ограничивать клиентов стоит группой в ldap'е, а не отсутствием привязки.

советую вам почитать http://forum.ixbt.com/topic.cgi?id=14:40906

А так же подумать, может ли быть выдан ip, который вы просите, и если нет, то почему. (в разных конфигурациях openvpn сетевое взаимодействие разное.)

Да, и вы (как и предыдущий анонимус) так и не поняли, что для эффективной помощи нужно выкладывать конфиги и логи.

Впрочем о чем это я..

уважаемый zgen! Смысла выкладывать дефолтные конфиги(LDAP-а) на мой взгляд нет особого смысла.

По openvpn действительно много документации но про использования openvpn в связки с лдап её практически нету.

Доступ определённых пользоватей действительно правильно ограничивать по группе.

Я спрашивал каким образом можно привязать IP адрес к логину(ldap) пользователя?

Хочется чтобы конкретный пользователь получал конкретный ip адрес. Это вообще возможно ? Мне важно контролировать чтобы каждый пользователь получал именно свой ip для того чтобы знать что этот ip/пользователь делал/делает.

Спасибо за ссылку(я её тоже читал до этого ) - подробно всё написано.

>Я спрашивал каким образом можно привязать IP адрес к логину(ldap) пользователя?

Молча. :)

>Хочется чтобы конкретный пользователь получал конкретный ip адрес. Это вообще возможно ?

Да

>Смысла выкладывать дефолтные конфиги(LDAP-а) на мой взгляд нет особого смысла.

В таком случае я не вижу смысла вам помогать. Кроме конфигов LDAP'а, есть еще конфиги openvpn'а. Есть его параметры запуска. Есть логи в конце концов, где как правило есть информация что и почему работает не так, как вам бы хотелось.

Всю приватную информацию из конфигов можно удалить, но если ВЫ не хотите показывать их, то почему должен хотеть Я вам помогать если даже теоретически не могу предположить, что у вас не так? (точнее могу, но это будет слишком много)

У меня привязка к ip и ограничение по группе работает. Документации в составе плагина (ldap auth) мне хватило чтобы его подключить и заставить работать. Документации к openvpn мне хватило, чтобы привязать ip к пользователю. Почему это сложность для вас - мне непонятно. Конфиги я выложил другому (другому ли?) анонимусу раньше с минимальными изменениями.

>В таком случае я не вижу смысла вам помогать. Кроме конфигов LDAP'а, >есть еще конфиги openvpn'а. Есть его параметры запуска. Есть логи в >конце концов, где как правило есть информация что и почему работает не >так, как вам бы хотелось.

Поверьте я наоборот заинтересован в вашей помощи. Мне наоборот не хотелось "нагружать" пост конфигами в которых у меня нет ошибок.

>Всю приватную информацию из конфигов можно удалить, но если ВЫ не >хотите показывать их, то почему должен хотеть Я вам помогать если >даже теоретически не могу предположить, что у вас не так? (точнее >могу, но это будет слишком много)

Если бы у меня были конкретные ошибки в логах я бы их запостил, у меня вопрос по использованию определенных настроек в openvpn для получения результата.

>У меня привязка к ip и ограничение по группе работает. Документации в >составе плагина (ldap auth) мне хватило чтобы его подключить и >заставить работать. Документации к openvpn мне хватило, чтобы >привязать ip к пользователю. Конфиги я выложил другому (другому ли?) анонимусу раньше с минимальными изменениями. Конфиг для ldap-a с ограничением группы я нашёл. Интеграция на уровне авторизации пользователей с ldap у меня работает.

>>>Не могли бы вы уточнить какая функция отвечает за привязку ip >>>адресов к ldap логину.

>Почему это сложность для вас - мне непонятно. Сами понимаете что у всех разный уровень подготовки. Разный бэкграунд. Мне не каждый день приходится самому компелить программы из исходников с использованием внешних библиотек. До этого в большинстве приходилось ставить из deb пакетов(почему до сих пор debian-цы не создали создали пакет openvpn-ldap кстати.)

Как и говорил я попробовал создавать файлы :

>>>>>>>>>>>>>>>>>>> В OpenVPN есть возможность задания настроек для конкретных клиентов. Для этого используется директива конфигурации 'client-config-dir'. Она задаёт путь к каталогу, в котором лежат отдельные файлы для клиентов. Имя файла должно соответствовать полю CN сертификата клиента.В простейшем случае клиенту может быть присвоен определённый адрес IP,директивой вида Также в файлах конфигурации клиентов можно указывать настройки маршрутизации,устанавливать на клиенте переменные окружения для запускаемых на клиенте скриптов и т.д. - см. директиву 'push'. По-умолчанию, если файл для клиента не находится, клиент получает конфигурацию по-умолчанию (т.е. первый свободный диапазон адресов и т.д.).Такое поведение можно отменить директивой 'ccd-exclusive'. В этом случае наличие файлов конфигурации в client-config-dir является обязательным. Клиент может отказаться получать конфигурацию, передаваемую ему сервером (за исключением IP). Для работы директив 'push' на стороне клиента в файле конфигурации должна присутствовать директива 'pull'. >>>>>>>>>>>>>>>>>>> в конфиге прописал : client-config-dir ccd и создал файл ../ccd/username1

файл в котором написал : ifconfig-push 10.8.0.5 10.8.0.6 А выдается всё равно каждый раз новый адрес!

Уважаемый анонимус, как захотите помощи - шлите конфиги и логи. А до того момента я вам не помогу.

server.config

plugin /opt/openvpn/conf/openvpn-auth-ldap.so "/opt/openvpn/conf/ldap.conf" port 1194 proto udp dev tun ca /etc/openvpn/pki/ca.crt cert /etc/openvpn/pki/server.crt client-cert-not-required dh /etc/openvpn/pki/dh1024.pem server 10.8.0.0 255.255.255.0 ifconfig-pool-persist ipp.txt client-config-dir ccd keepalive 10 120 comp-lzo user nobody group nogroup persist-key persist-tun status /var/log/openvpn/openvpn-status.log log /var/log/openvpn/openvpn.log log-append openvpn.log verb 5

client config:

client auth-user-pass ns-cert-type server route-method exe route-delay 2 route 192.168.2.0 255.255.255.0 dev tun proto udp remote openvpn 1194 resolv-retry infinite nobind persist-key persist-tun ca ca.crt cipher DES-EDE3-CBC comp-lzo verb 3

Задача привязать uid(ldap логин пользователя) к определённому ip адресу.

уберите ifconfig-pool-persist ipp.txt Я не вижу в нем смысла, если вы хотите выдавать ip руками.

Пробуйте еще раз.

удалил строчку.перезапустил.

в файле ../ccd/username

ifconfig-push 101.8.0.5 101.8.0.6

Всё равно каждый раз выдаётся новый ip адрес .

Какой? Включите дебаг, там явно видно присвоение адреса.

Понятно какой из пула адресов.

10.8.0.34 x.x.x.38,10,6 вот такие вот адреса.

включил verbose #6 Вижу : два разных запроса. Выдаются одному пользователю сначало один ip потом второй.

PLUGIN_CALL: POST /opt/openvpn/conf/openvpn-auth-ldap.so/PLUGIN_CLIENT_CONNECT status=0 MULTI: Learn: 10.8.0.10 -> 11.11.132.98:57962 MULTI: primary virtual IP for 11.11.132.98:57962: 10.8.0.10 UDPv4 READ [104] from 11.11.132.98:57962: P_CONTROL_V1 kid=0 [ ] pid=9 DATA len=90 PUSH: Received control message: 'PUSH_REQUEST' SENT CONTROL [UNDEF]: 'PUSH_REPLY,route 10.8.0.1,ping 10,ping-restart 120,ifconfig 10.8.0.10 10.8.0.9' (status=1)

PLUGIN_CALL: POST /opt/openvpn/conf/openvpn-auth-ldap.so/PLUGIN_CLIENT_CONNECT status=0 MULTI: Learn: 10.8.0.6 -> 11.11.132.98:57720 MULTI: primary virtual IP for 11.11.132.98:57720: 10.8.0.6 UDPv4 READ [104] from 11.11.132.98:57720: P_CONTROL_V1 kid=0 [ ] pid=9 DATA len=90 PUSH: Received control message: 'PUSH_REQUEST' SENT CONTROL [UNDEF]: 'PUSH_REPLY,route 10.8.0.1,ping 10,ping-restart 120,ifconfig 10.8.0.6 10.8.0.5' (status=1)

вы не могли бы сказать каким образом вы привязываете ip адрес к uid-у пользователя а то я не совсем понимаю на что именно нужно обращать внимание в логах

>Понятно какой из пула адресов.

Что-то я не вижу в конфиге упоминания пула адресов. Не покажете? а то я похоже подслеповат.

>вы не могли бы сказать каким образом вы привязываете ip адрес к uid-у пользователя

Таким же, каким и вы. У вас ошибка в основном конфиге, но вы всячески саботируете процесс показывая черти-что вместо конфига (см. сообщение выше), в целом составляя о себе впечатление человека который заинтересован в том, чтобы у него все продолжило не работать.

И не забывайте ПРО ФОРМАТИРОВАНИЕ, я что сам должен преводы строк вставлять? Заметили, что никто кроме меня вам не отвечает? угадайте почему - вы делаете все, чтобы вам было неинтересно помогать.

показывайте весь лог на 6ке от соединения. А не кусок от него. По куску лога видно, что у вас нет конфигов для username'ов или они не цепляются

Продолжите играть в прятки - я перестану пытаться вам помогать - будете ждать еще кого-нибудь, раз сами справится не можете или не хотите.

Sat Mar 15 21:42:08 2008 us=688486 user.name/x.y.z.109:1194 OPTIONS IMPORT: reading client specific options from: ccd/user.name

Вот вам пример.

соединение :

Mon Mar 17 14:26:47 2008 us=671454 x.x.x.98:62859 PLUGIN_CALL: POST /opt/openvpn/conf/openvpn-auth-ldap.so/PLUGIN_AUTH_USER_PASS_VERIFY status=0

Mon Mar 17 14:26:47 2008 us=671524 x.x.x.98:62859 TLS: Username/Password authentication succeeded for username 'user1'

Mon Mar 17 14:26:47 2008 us=671774 x.x.x.98:62859 Data Channel Encrypt: Cipher 'DES-EDE3-CBC' initialized with 192 bit key

Mon Mar 17 14:26:47 2008 us=671793 x.x.x.98:62859 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication

Mon Mar 17 14:26:47 2008 us=671851 x.x.x.98:62859 Data Channel Decrypt: Cipher 'DES-EDE3-CBC' initialized with 192 bit key

Mon Mar 17 14:26:47 2008 us=671866 x.x.x.98:62859 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication

Mon Mar 17 14:26:47 2008 us=671927 x.x.x.98:62859 UDPv4 WRITE [126] to x.x.x.98:62859: P_CONTROL_V1 kid=0 [ 8 ] pid=26 DATA len=100

Mon Mar 17 14:26:47 2008 us=672030 x.x.x.98:62859 UDPv4 WRITE [114] to x.x.x.98:62859: P_CONTROL_V1 kid=0 [ ] pid=27 DATA len=100

Mon Mar 17 14:26:47 2008 us=672108 x.x.x.98:62859 UDPv4 WRITE [80] to x.x.x.98:62859: P_CONTROL_V1 kid=0 [ ] pid=28 DATA len=66

Mon Mar 17 14:26:47 2008 us=673615 x.x.x.98:62859 UDPv4 READ [22] from x.x.x.98:62859: P_ACK_V1 kid=0 [ 26 ]

Mon Mar 17 14:26:47 2008 us=673649 x.x.x.98:62859 UDPv4 READ [22] from x.x.x.98:62859: P_ACK_V1 kid=0 [ 27 ]

Mon Mar 17 14:26:47 2008 us=674146 x.x.x.98:62859 UDPv4 READ [22] from x.x.x.98:62859: P_ACK_V1 kid=0 [ 28 ]

Mon Mar 17 14:26:47 2008 us=674167 x.x.x.98:62859 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA

Mon Mar 17 14:26:47 2008 us=674191 x.x.x.98:62859 [] Peer Connection Initiated with x.x.x.98:62859 LDAP search failed: No such object

Mon Mar 17 14:26:47 2008 us=700349 x.x.x.98:62859 PLUGIN_CALL: POST /opt/openvpn/conf/openvpn-auth-ldap.so/PLUGIN_CLIENT_CONNECT status=0

Mon Mar 17 14:26:47 2008 us=700396 x.x.x.98:62859 MULTI: Learn: 10.8.0.10 -> x.x.x.98:62859

Mon Mar 17 14:26:47 2008 us=700413 x.x.x.98:62859 MULTI: primary virtual IP for x.x.x.98:62859: 10.8.0.10

Mon Mar 17 14:26:48 2008 us=852728 x.x.x.98:62859 UDPv4 READ [104] from x.x.x.98:62859: P_CONTROL_V1 kid=0 [ ] pid=9 DATA len=90

Mon Mar 17 14:26:48 2008 us=852836 x.x.x.98:62859 PUSH: Received control message: 'PUSH_REQUEST'

Mon Mar 17 14:26:48 2008 us=852896 x.x.x.98:62859 SENT CONTROL [UNDEF]: 'PUSH_REPLY,route 10.8.0.1,ping 10,ping-restart 120,ifconfig 10.8.0.10 10.8.0.9' (status=1)

Mon Mar 17 14:26:48 2008 us=852915 x.x.x.98:62859 UDPv4 WRITE [22] to x.x.x.98:62859: P_ACK_V1 kid=0 [ 9 ]

Mon Mar 17 14:26:48 2008 us=853033 x.x.x.98:62859 UDPv4 WRITE [114] to x.x.x.98:62859: P_CONTROL_V1 kid=0 [ ] pid=29 DATA len=100

Mon Mar 17 14:26:48 2008 us=853120 x.x.x.98:62859 UDPv4 WRITE [68] to x.x.x.98:62859: P_CONTROL_V1 kid=0 [ ] pid=30 DATA len=54

Mon Mar 17 14:26:48 2008 us=863504 x.x.x.98:62859 UDPv4 READ [22] from x.x.x.98:62859: P_ACK_V1 kid=0 [ 29 ]

Mon Mar 17 14:26:48 2008 us=905905 x.x.x.98:62859 UDPv4 READ [22] from x.x.x.98:62859: P_ACK_V1 kid=0 [ 30 ]

Mon Mar 17 14:26:58 2008 us=983178 x.x.x.98:62859 UDPv4 WRITE [53] to x.x.x.98:62859: P_DATA_V1 kid=0 DATA len=52

Mon Mar 17 14:26:58 2008 us=986895 x.x.x.98:62859 UDPv4 READ [53] from x.x.x.98:62859: P_DATA_V1 kid=0 DATA len=52

>Sat Mar 15 21:42:08 2008 us=688486 user.name/x.y.z.109:1194 OPTIONS IMPORT: reading client specific options from: ccd/user.name

У меня такого понятное дело нету.

>показывайте весь лог на 6ке от соединения. А не кусок от него. По куску >лога видно, что у вас нет конфигов для username'ов или они не цепляются >Продолжите играть в прятки - я перестану пытаться вам помогать - будете >ждать еще кого-нибудь, раз сами справится не можете или не хотите.

В проядки играть не хочу мне нужно решить проблему. Ещё раз высказываю вам свою признательность за ваше потраченное время.

>Что-то я не вижу в конфиге упоминания пула адресов. Не покажете? а то я >похоже подслеповат.

server 10.8.0.0 255.255.255.0 - разве это не задает пул.

Куски загрузочного лога(весь большой уж слижком):

Mon Mar 17 14:03:26 2008 us=364902 ifconfig_local = '10.8.0.1'

Mon Mar 17 14:03:26 2008 us=364921 ifconfig_remote_netmask = '10.8.0.2'

Mon Mar 17 14:03:26 2008 us=365324 up_script = '[UNDEF]'

Mon Mar 17 14:03:26 2008 us=365335 down_script = '[UNDEF]'

Mon Mar 17 14:03:26 2008 us=365346 down_pre = DISABLED

Mon Mar 17 14:03:26 2008 us=365357 up_restart = DISABLED

Mon Mar 17 14:03:26 2008 us=365368 up_delay = DISABLED

Mon Mar 17 14:03:26 2008 us=365378 daemon = ENABLED

Mon Mar 17 14:03:26 2008 us=365390 inetd = 0

Mon Mar 17 14:03:26 2008 us=365401 log = ENABLED

Mon Mar 17 14:03:26 2008 us=365412 suppress_timestamps = DISABLED

Mon Mar 17 14:03:26 2008 us=365451 nice = 0

Mon Mar 17 14:03:26 2008 us=365463 verbosity = 6

Mon Mar 17 14:03:26 2008 us=365475 mute = 0

Mon Mar 17 14:03:26 2008 us=365486 gremlin = 0

Mon Mar 17 14:03:26 2008 us=365531 occ = ENABLED

Mon Mar 17 14:03:26 2008 us=365632 route_script = '[UNDEF]'

Mon Mar 17 14:03:26 2008 us=365643 route_default_gateway = '[UNDEF]'

Mon Mar 17 14:03:26 2008 us=365655 route_noexec = DISABLED

Mon Mar 17 14:03:26 2008 us=365666 route_delay = 0

Mon Mar 17 14:03:26 2008 us=365677 route_delay_window = 30

Mon Mar 17 14:03:26 2008 us=365688 route_delay_defined = DISABLED

Mon Mar 17 14:03:26 2008 us=365700 route 10.8.0.0/255.255.255.0/nil/nil

Mon Mar 17 14:03:26 2008 us=365712 management_addr = '[UNDEF]'

Mon Mar 17 14:03:26 2008 us=365730 management_port = 0

Mon Mar 17 14:03:26 2008 us=365741 management_user_pass = '[UNDEF]'

Mon Mar 17 14:03:26 2008 us=365752 management_log_history_cache = 250

Mon Mar 17 14:03:26 2008 us=365763 management_echo_buffer_size = 100

Mon Mar 17 14:03:26 2008 us=365775 management_query_passwords = DISABLED

Mon Mar 17 14:03:26 2008 us=365786 management_hold = DISABLED

Mon Mar 17 14:03:26 2008 us=365797 plugin[0] /opt/openvpn/conf/openvpn-auth-ldap.so '/opt/openvpn/conf/ldap.conf'

Mon Mar 17 14:03:26 2008 us=366232 server_network = 10.8.0.0

Mon Mar 17 14:03:26 2008 us=366245 server_netmask = 255.255.255.0

Mon Mar 17 14:03:26 2008 us=366258 server_bridge_ip = 0.0.0.0

Mon Mar 17 14:03:26 2008 us=366270 server_bridge_netmask = 0.0.0.0

Mon Mar 17 14:03:26 2008 us=366283 server_bridge_pool_start = 0.0.0.0

Mon Mar 17 14:03:26 2008 us=366295 server_bridge_pool_end = 0.0.0.0

Mon Mar 17 14:03:26 2008 us=366307 push_list = 'route 10.8.0.1,ping 10,ping-restart 120'

Mon Mar 17 14:03:26 2008 us=366319 ifconfig_pool_defined = ENABLED

Mon Mar 17 14:03:26 2008 us=366332 ifconfig_pool_start = 10.8.0.4

Mon Mar 17 14:03:26 2008 us=366344 ifconfig_pool_end = 10.8.0.251

Mon Mar 17 14:03:26 2008 us=366379 ifconfig_pool_netmask = 0.0.0.0

Mon Mar 17 14:03:26 2008 us=366395 ifconfig_pool_persist_filename = '[UNDEF]'

Mon Mar 17 14:03:26 2008 us=366407 ifconfig_pool_persist_refresh_freq = 600

Mon Mar 17 14:03:26 2008 us=366419 ifconfig_pool_linear = DISABLED

Mon Mar 17 14:03:26 2008 us=366431 n_bcast_buf = 256

Mon Mar 17 14:03:26 2008 us=366442 tcp_queue_limit = 64

Mon Mar 17 14:03:26 2008 us=366454 real_hash_size = 256

Mon Mar 17 14:03:26 2008 us=366465 virtual_hash_size = 256

Mon Mar 17 14:03:26 2008 us=366476 client_connect_script = '[UNDEF]'

Mon Mar 17 14:03:26 2008 us=366488 learn_address_script = '[UNDEF]'

Mon Mar 17 14:03:26 2008 us=366500 client_disconnect_script = '[UNDEF]'

Mon Mar 17 14:03:26 2008 us=366512 client_config_dir = 'ccd'

Mon Mar 17 14:03:26 2008 us=366523 ccd_exclusive = DISABLED

Mon Mar 17 14:03:26 2008 us=366534 tmp_dir = '[UNDEF]'

Mon Mar 17 14:03:26 2008 us=366546 push_ifconfig_defined = DISABLED

Mon Mar 17 14:03:26 2008 us=366559 push_ifconfig_local = 0.0.0.0

Mon Mar 17 14:03:26 2008 us=366572 push_ifconfig_remote_netmask = 0.0.0.0

Mon Mar 17 14:03:26 2008 us=366583 enable_c2c = DISABLED

Mon Mar 17 14:03:26 2008 us=366595 duplicate_cn = DISABLED

Mon Mar 17 14:03:26 2008 us=366606 cf_max = 0

Mon Mar 17 14:03:26 2008 us=366617 cf_per = 0

Mon Mar 17 14:03:26 2008 us=366792 max_clients = 1024

Mon Mar 17 14:03:26 2008 us=366805 max_routes_per_client = 256

Mon Mar 17 14:03:26 2008 us=366817 client_cert_not_required = ENABLED

Mon Mar 17 14:03:26 2008 us=366829 username_as_common_name = DISABLED

совсем наглеть не хочется но вам не сложно было бы по icq 10 минут потратить на общение. Мне кажется результат был бы исключительно положительным. В форум же я выложу работающих конфиг и комментарии что именно было не так.

1185семь9858

Спасибо

server 10.8.0.0 255.255.255.0 - разве это не задает пул.
Нет, не задает.

Ваша проблема вот тут:

Mon Mar 17 14:26:47 2008 us=674191 x.x.x.98:62859 [] Peer Connection Initiated with x.x.x.98:62859 LDAP search failed: No such object

Это значит, что вы фильтр написали неправильно, либо с правами в LDAP у вас беда.