6 votes

Myrddin Emrys avatar

OpenVPN avec intégration d'Active Directory

Demandé el 6 de Janvier, 2010
Quand la question a-t-elle été
11145 affichage
Nombre de visites la question a
5 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Quelqu'un a-t-il réussi à faire fonctionner OpenVPN avec l'intégration d'Active Directory ? Utilisez-vous le openvpn.net ou le openvpn.net/opensource d'OpenVPN ? Des conseils, des astuces ou des problèmes, ou est-ce que cela a fonctionné (oui, j'ai vu ce mode d'emploi mais parfois les méthodes ne sont pas aussi simples qu'elles en ont l'air pour moi).

Histoire : J'ai un très vieux concentrateur Cisco (série 3000) qui doit être remplacé. J'aimerais que le remplaçant soit quelque chose qui s'intègre avec les utilisateurs/mots de passe AD. J'ai une pile de boîtiers HP DL320 raisonnablement modernes qui traînent et cela m'a conduit à l'idée d'OpenVPN...

Demandé el 6 de Janvier, 2010 par Myrddin Emrys

Réponses

Trop de publicités?

7voto

jammus avatar
jammus Points 1796

Avec la version open source, vous pouvez écrire votre propre script d'authentification en utilisant l'option 'auth-user-pass-verify'.

Je ne l'ai jamais mis en production, mais j'ai créé un script fonctionnel qui authentifie les utilisateurs par rapport à mon répertoire.

Une autre option est le openvpn-auth-ldap plugin.

Répondu el 6 de Janvier, 2010 par jammus (1796 Points )

6voto

TH310 avatar
TH310 Points 46

Je préfère que l'authentification OpenVPN se fasse par PAM (avec LDAP, ou Kerberos), car c'est la solution la plus flexible. J'ai eu l'impression que le plugin LDAP fourni par OpenVPN est une sorte de solution ad-hoc sale -- rien à voir avec les plugins LDAP ou Kerberos pour PAM. J'ai eu des problèmes de temps en temps lorsque les informations d'identification de l'utilisateur se voyaient refuser l'accès, mais une nouvelle tentative a permis de résoudre le problème. Ma configuration actuelle (production) s'authentifie auprès de PAM. La pile PAM est complétée par Kerberos (pam_krb5) pour l'authentification OpenVPN. Elle est utilisée quotidiennement par près de 100 utilisateurs. Vous pouvez faire beaucoup de choses avec PAM (mécanismes d'authentification multiples, sources multiples, etc. etc.)

Répondu el 9 de Janvier, 2010 par TH310 (46 Points )

4voto

18hrs avatar
18hrs Points 583

Nous avons besoin d'une authentification AD pour notre installation Openvn (intégration des groupes/OU) et nous avons trouvé que le plus simple était d'utiliser le plugin radius en utilisant les services d'authentification Internet de Windows (c.-à-d. win2003 radius).

Ce n'est pas que l'auth-ldap ne fonctionne pas bien, mais l'intégration de radius s'est avérée plus facile à mettre en œuvre pour nous (YMMV).

pour ce que ça vaut, découvert avec le recul : l'offre commerciale - openvpn-AS (ou openvpn.net comme vous l'avez appelé) - fonctionne très bien dès la sortie de la boîte, à la fois pour l'authentification radius et LDAP, et les frais de licence sont très bas - fonctionne avec des connexions simultanées plutôt qu'avec des utilisateurs nommés (à 250 $ pour 50 connexions simultanées, avec des forfaits plus petits disponibles). De plus, la prise en charge de l'utilisateur est bien conçue et permet de créer de nouveaux utilisateurs et de migrer des clients existants sans trop de difficultés.

Répondu el 9 de Janvier, 2010 par 18hrs (583 Points )

1voto

khalid avatar
khalid Points 1

J'ai mis en œuvre une solution de ce type :

OpnVPNClient ---> OpenVPNServeur + plugin Radius---> Windows2003SRV(IAS+AD)

Il fonctionne très bien !

Vous pouvez le trouver en cherchant "blog laurent besson"...

Cet article fait suite à de nombreux autres, ne l'oubliez pas :)

Répondu el 23 de Octobre, 2010 par khalid (1 Points )

-2voto

Dayton Brown avatar
Dayton Brown Points 1549

Je pense que ma seule question est de savoir pourquoi traiter avec un VPN ouvert alors que MS a une solution vpn parfaitement acceptable intégrée. Bien sûr, cela dépend de votre situation, mais mon dieu que c'est facile à mettre en œuvre.

Répondu el 9 de Janvier, 2010 par Dayton Brown (1549 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X