神马文学网OpenVPN 結合 LDAP 認證機制
来源:百度文库 编辑:神马文学网 时间:2024/04/27 17:56:29
OpenVPN 結合 LDAP 認證機制
暨上一篇文章中介紹完 OpenVPN 如何與 certificate 搭配來加強傳輸的安全性後,這次要回歸到帳號密碼認證的問題!
原本在 certificate 的模式中,client 只要輸入 client certificate 的密碼即可! (因為帳號內定為 client certificate 中的 common name)
當然 OpenVPN 提供的驗證方法不只這種,除了上述的方式外,還可與 LDAP 或是 RADIUS 此類的遠端服務搭配來進行認證的工作,以下要介紹如何使用 LDAP 來進行認證。
全部的設定皆以上一篇為基礎,保留原有設定,並加入 LDAP 認證用的相關設定,以下是設定內容:
vpn server
# 用來認證使用者帳號密碼的 script
# 【注意】務必用「絕對路徑」指定 script 位置
# 「via-env」的目的是以使用者輸入的訊息作為 script 的參數
auth-user-pass-verify /etc/openvpn/ldap_auth.sh via-env
# 以使用者輸入的帳號為 common name
# 不用 client certificate 中的 common name
username-as-common-name
vpn client
# 以帳號密碼的方式進行認證
auth-user-pass
接著以下是 ldap_auth.sh 的內容:
#!/bin/sh
# LDAP Server 的位址
LDAP_HOST=ldap.example.com
# 檢查輸入是否有錯誤
if [ "$username" = "anonymous" || "$username" = "Anonymous" || -z "$username" || -z "$password" ] ; then
exit 1;
fi
# 查詢 LDAP Server 中的帳號密碼資訊
ldapwhoami -x -h $LDAP_HOST -D uid=$username,ou=users,dc=example,dc=com -w $password
if [ "$?" = "0" ]; then
exit 0;
else
exit 1;
fi
exit 1;然後要讓此 script 讓 others 可以有執行(x)的權限,如此一來 LDAP 認證應該就可以正常進行了。
假設只要進行 LDAP 的帳號密碼認證就好呢?
或許有人會有這種疑問吧? 或是我多慮了........? @_@...算了,不重要...
如果要取消 client certificate 的密碼認證,只要在 vpn server 中加入以下設定:
# 不需 client certificate 相關資訊
client-cert-not-required
並在 vpn client 中將以下兩行註解:
cert keys/vpn_client_cert.pem
key keys/vpn_client_key.pem
如此一來,只要輸入 LDAP 的帳號密碼就可以完成認證囉!
實作心得感想
為了搞這個整整花了我一天,測試半天,中間一直出錯,但一直找不到錯誤原因........
結果發現加入設定「verb 6」可以變成 debug mode,如此一來顯示出來的訊息就相當詳細了!(當然不值得看的訊息也一堆啦......@_@) debug 也相對方便許多~問題也就解決了.....
Read More...
Collapse...
張貼者:曾建銘
Post a Comment
暨上一篇文章中介紹完 OpenVPN 如何與 certificate 搭配來加強傳輸的安全性後,這次要回歸到帳號密碼認證的問題!
原本在 certificate 的模式中,client 只要輸入 client certificate 的密碼即可! (因為帳號內定為 client certificate 中的 common name)
當然 OpenVPN 提供的驗證方法不只這種,除了上述的方式外,還可與 LDAP 或是 RADIUS 此類的遠端服務搭配來進行認證的工作,以下要介紹如何使用 LDAP 來進行認證。
全部的設定皆以上一篇為基礎,保留原有設定,並加入 LDAP 認證用的相關設定,以下是設定內容:
vpn server
# 用來認證使用者帳號密碼的 script
# 【注意】務必用「絕對路徑」指定 script 位置
# 「via-env」的目的是以使用者輸入的訊息作為 script 的參數
auth-user-pass-verify /etc/openvpn/ldap_auth.sh via-env
# 以使用者輸入的帳號為 common name
# 不用 client certificate 中的 common name
username-as-common-name
vpn client
# 以帳號密碼的方式進行認證
auth-user-pass
接著以下是 ldap_auth.sh 的內容:
#!/bin/sh
# LDAP Server 的位址
LDAP_HOST=ldap.example.com
# 檢查輸入是否有錯誤
if [ "$username" = "anonymous" || "$username" = "Anonymous" || -z "$username" || -z "$password" ] ; then
exit 1;
fi
# 查詢 LDAP Server 中的帳號密碼資訊
ldapwhoami -x -h $LDAP_HOST -D uid=$username,ou=users,dc=example,dc=com -w $password
if [ "$?" = "0" ]; then
exit 0;
else
exit 1;
fi
exit 1;然後要讓此 script 讓 others 可以有執行(x)的權限,如此一來 LDAP 認證應該就可以正常進行了。
假設只要進行 LDAP 的帳號密碼認證就好呢?
或許有人會有這種疑問吧? 或是我多慮了........? @_@...算了,不重要...
如果要取消 client certificate 的密碼認證,只要在 vpn server 中加入以下設定:
# 不需 client certificate 相關資訊
client-cert-not-required
並在 vpn client 中將以下兩行註解:
cert keys/vpn_client_cert.pem
key keys/vpn_client_key.pem
如此一來,只要輸入 LDAP 的帳號密碼就可以完成認證囉!
實作心得感想
為了搞這個整整花了我一天,測試半天,中間一直出錯,但一直找不到錯誤原因........
結果發現加入設定「verb 6」可以變成 debug mode,如此一來顯示出來的訊息就相當詳細了!(當然不值得看的訊息也一堆啦......@_@) debug 也相對方便許多~問題也就解決了.....
Read More...
Collapse...
張貼者:曾建銘
Post a Comment
OpenVPN 結合 LDAP 認證機制
OpenVPN 結合 LDAP 認證機制
ldap-recipe
OpenVPN笔记
OPENVPN技巧
OPENVPN技巧
什么是LDAP? - fanqiang.com
OpenVPN 配置和使用
OpenVPN相关连接
HOWTO: IPCop-OpenVPN
RouterOS 配置OpenVPN
Java对LDAP的操作方法
OpenVPN:简单、功能强大的VPN软件 !
利用openvpn - linux快速建立企业VPN
FREEBSD下VPN服务器的维护(openvpn)
利用 openvpn linux 快速建立企业VPN
基于linux操作系统架构openvpn总结
OpenVPN:简单、功能强大的VPN软件 !
FREEBSD下VPN服务器的维护(openvpn)
《合》
Websphere5.1.x JAAS LDAP配置全攻略(1)
瞬间美的結合
解決 OpenVPN client 連線後,外部網段無法連到 client 的問題
openvpn路由设置 - d的博客 - 博客大巴