Pregunta OpenVPN con integración de Active Directory


¿Alguien está ejecutando con éxito OpenVPN con la integración de Active Directory? Estas usando el openvpn.net o la openvpn.net/opensource versión de OpenVPN? ¿Algún consejo, trucos o errores o "simplemente funcionó?" si si he visto este Cómo Pero a veces, ¿cómo no son tan simples como me buscan?

Backstory: Tengo un concentrador de Cisco muy viejo (serie 3000) que necesita ser reemplazado. Me gustaría que el reemplazo sea algo que se integre con el usuario / contraseñas de AD. Tengo una pila de cajas de HP DL320 razonablemente modernas y eso me llevó a la idea de OpenVPN ...


6
2018-01-05 23:56


origen




Respuestas:


Prefiero tener la autenticación OpenVPN contra PAM (con LDAP o Kerberos), ya que esta es la solución más flexible. Tengo la impresión de que el complemento LDAP provisto por OpenVPN es una solución ad hoc bastante sucia, nada comparado con los complementos LDAP o Kerberos para PAM. De vez en cuando he tenido problemas en los casos en que las credenciales de usuario correctas donde se rechazó el acceso, un reintento resolvió ese problema Mi configuración actual (producción) se autentica contra PAM. La pila de PAM tiene Kerberos (pam_krb5) en la parte superior para la autenticación OpenVPN. Uso diario por casi 100 usuarios. Puedes hacer muchas cosas con PAM (múltiples mecanismos de autenticación, múltiples fuentes, etc.).


6
2018-01-09 12:17



Probablemente sea un poco lento ... pero en su configuración de producción es alguna cosa autenticando de nuevo a Active Directory? Si es así, ¿podría agregar algunas oraciones más sobre eso? - Chris_K
La cadena se ve así: cliente openvpn -> servidor openvpn -> PAM -> complemento PAM kerberos -> AD - pfo


Con la versión de código abierto, puede escribir su propio script de autenticación usando la opción 'auth-user-pass-Verify'.

Nunca lo puse en producción, pero piraté un script de trabajo que autentica a los usuarios en mi directorio.

Otra opción es la openvpn-auth-ldap enchufar.


7
2018-01-06 00:16



+1 para auth-ldap - Mark Henderson♦
En el espíritu de la pregunta original: ¿Ha utilizado con éxito el complemento auth-ldap en un entorno en vivo? - Chris_K
Para aquellos que han votado este, han tú hecho lo que se describe en esta respuesta? Simplemente estoy tratando de encontrar a alguien que tenga y escuche un poco sobre la experiencia. - Chris_K
@Chris, no, no he usado auth-ldap en producción. - Zoredache


requerimos la autenticación AD para nuestra instalación openvn (que integración de grupo / OU) y encontramos que lo más fácil fue usar el complemento de radio usando los servicios de autenticación de Internet de Windows (es decir, el radio de Win2003)

no es que auth-ldap no funcione bien, solo la integración del radio terminó siendo más fácil para nosotros para trabajar (YMMV)

para lo que vale, descubierto en retrospectiva: la oferta comercial - openvpn-AS (o openvpn.net como la ha mencionado) - funciona muy bien de forma inmediata, tanto para el radio como para la autenticación LDAP, y el costo de la licencia es realmente bajo: funciona con conexiones concurrentes en lugar de usuarios nombrados (a $ 250 por 50 conexiones simultáneas con paquetes más pequeños disponibles). Además, la aceptación del usuario está bien organizada y hace que el nuevo usuario y la migración de los clientes existentes sean relativamente fáciles.


4
2018-01-09 13:45



El radio de Windows 2003 es IAS, ¿sí? ¿Algún costo de licencia o problemas asociados con la instalación de eso? - Chris_K
IAS es una implementación de radio, sí. No tengo ninguna licencia adicional que conozca, es un complemento opcional estándar para un servidor 2003 (AFAIK) - Mark Regensberg


He implementado una solución así:

OpnVPNClient ---> OpenVPNServeur + plugin Radius ---> Windows2003SRV (IAS + AD)

¡Está funcionando bien!

Lo puedes encontrar con la búsqueda "blog laurent besson" ...

Este artículo hecho de muchos otros, no lo olvides :)


1
2017-10-23 15:42





Supongo que mi única pregunta es por qué lidiar con una VPN abierta cuando MS tiene una solución de vpn perfectamente aceptable incorporada. Por supuesto que depende de su situación, pero mi Dios es fácil de implementar.


-2
2018-01-09 14:46



Para algunos lugares, el "código libre y abierto" es un requisito para la implementación, la organización sin fines de lucro donde trabajo especialmente. Además, IMHO OpenVPN es muy fácil de implementar. - scraft3613
Si bien "libre y de código abierto" no son requisitos difíciles, el hecho de que tenga que comprar otra licencia de sistema operativo es definitivamente una de las razones por las que estoy viendo OpenVPN. - Chris_K
Ya indicó que la integración de AD era parte del requisito. Por lo tanto, licencia adquirida. Incluso puede hacerlo con una NIC en su DC si tiene que hacerlo (aunque no lo recomiendo exactamente). He visto más de 200 personas conectadas a un servidor de w2k3 en mi antigua oficina sin ninguna queja. - Dayton Brown
Si bien este debate es divertido, ciertamente no está en el espíritu de la pregunta que hice: ¿Ha ejecutado OpenVPN con integración de AD? Si no, hemos terminado ¿verdad? Gracias por las alternativas. - Chris_K
Además, el OP no quiere ejecutar su VPN en su DC, hay muchas razones para eso, particularmente por seguridad, por lo que si quisiera ejecutar una VPN RRAS, necesitaría otra licencia de SO. - Sam Cogan