Нет описания правки |
Нет описания правки |
||
| Строка 4: | Строка 4: | ||
apt-get update |
apt-get update |
||
apt-get install openvpn-auth-ldap |
apt-get install openvpn-auth-ldap |
||
| − | Для работы сервера нам нужны файлы сертификатов и ключей, если у вас уже имеется настроенный центр сертификации возьмите с него файлы ca.crt и dh1024.pem и для нового сервера с генерируйте srv.crt и srv.key. Все файлы сложим в: |
+ | Для работы сервера нам нужны файлы сертификатов и ключей, если у вас уже имеется настроенный центр сертификации возьмите с него файлы '''ca.crt''' и '''dh1024.pem''' и для нового сервера с генерируйте '''srv.crt''' и '''srv.key'''. Все файлы сложим в: |
/etc/openvpn/keys |
/etc/openvpn/keys |
||
Создадим конфигурацию сервера |
Создадим конфигурацию сервера |
||
proto udp |
proto udp |
||
dev tun |
dev tun |
||
| − | ca keys/ca.crt |
+ | ca keys/'''ca.crt''' |
| − | cert keys/ |
+ | cert keys/'''srv.crt''' |
| − | key keys/ |
+ | key keys/'''srv.key''' |
| − | dh keys/dh1024.pem |
+ | dh keys/'''dh1024.pem''' |
| − | server 172.16.32.0 255.255.255.0 |
+ | server 172.16.32.0 255.255.255.0 # Сеть для клиентов |
| + | #push "route 10.0.0.0 255.0.0.0" # Локальная сеть куда надо пустить клиентов |
||
client-cert-not-required |
client-cert-not-required |
||
username-as-common-name |
username-as-common-name |
||
Версия от 07:42, 29 июля 2012
Задача
Необходимо обеспечить удаленную работу сотрудникам с ресурсами локальной сети организации
Настройка сервера
apt-get update apt-get install openvpn-auth-ldap
Для работы сервера нам нужны файлы сертификатов и ключей, если у вас уже имеется настроенный центр сертификации возьмите с него файлы ca.crt и dh1024.pem и для нового сервера с генерируйте srv.crt и srv.key. Все файлы сложим в:
/etc/openvpn/keys
Создадим конфигурацию сервера
proto udp dev tun ca keys/ca.crt cert keys/srv.crt key keys/srv.key dh keys/dh1024.pem server 172.16.32.0 255.255.255.0 # Сеть для клиентов #push "route 10.0.0.0 255.0.0.0" # Локальная сеть куда надо пустить клиентов client-cert-not-required username-as-common-name plugin /usr/lib/openvpn/openvpn-auth-ldap.so /etc/openvpn/auth-ldap.conf
Создадим конфигурацию ldap плагина
nano /etc/openvpn/auth-ldap.conf
# Параметры подключения к домену
<LDAP>
URL ldap://10.0.32.5
BindDN user@domail.local
Password password
Timeout 15
</LDAP>
# Параметры авторизации пользователей входящих в группу RemoteAccess которая создана в подразделении Domain Groups в домене
<Authorization>
BaseDN "DC=domail,DC=local"
SearchFilter "(&(sAMAccountName=%u)(memberOf=CN=RemoteAccess,OU=Domain Groups,DC=domain,DC=local))"
</Authorization>
Настройка клиента
Клиент должен иметь файл ca.crt (точную копию того, что использует сервер). Кладем его в папку в которой будет файл конфигурации, а затем создадим файл конфигурации клиента
remote 111.111.111.111 proto udp persist-key client dev tun ca ca.crt auth-user-pass nobind
При запуске подключения, будет запрошен логин и пароль. Если введенный логин и пароль верные, а пользователь входит в группу RemoteAccess, то произойдет подключение. Клиент получит адрес из диапазона 172.16.32.0/24 внутренней сети сервера.