我在ubuntu 19.04上安装了openvpn,并且正在使用插件“ openvpn-auth-ldap.so”进行身份验证,我可以从Windows Server 2012活动目录中的组织单位中对用户进行身份验证,但可以尝试进一步限制只能访问一组。 archvo中使用的配置:“ auth-ldap.conf”如下:
<Authorization>
BaseDN "OU=<MyOUWhereisMyGroupWithVPNUsers>,DC=<mydomain>,DC=<local>"
SearchFilter "(CN=%u)"
RequireGroup true
<Group>
BaseDN "OU=<MyOUWhereisMyGroupWithVPNUsers>,DC=<mydomain>,DC=<local>"
SearchFilter "(&(objectClass=top;group)(memberOf=CN=<NameofMyGroupVPNUsers> ,OU=<MyOUWhereisMyGroupWithVPNUsers>,DC=mydomain,DC=local))"
MemberAttribute uniqueMember
</Group>
</Authorization>
任何想法该配置应该如何进行。我只希望在Active Directory中定义的组可以访问我的OpenVPN服务器,而不是整个OU。
答案 0 :(得分:0)
我认为您误解了ldap配置的工作原理。
第一部分允许您搜索用户,第二部分允许您根据组成员资格进一步过滤用户。
因此,您应该可以通过以下两种配置之一来完成所需的操作:
<Authorization>
BaseDN "OU=<where_users_accounts_are>,DC=<mydomain>,DC=<local>"
SearchFilter "(&(samaccountname=%u)(memberOf=<DN_of_the_group>))"
RequireGroup false
</Authorization>
或
<Authorization>
BaseDN "OU=<where_users_accounts_are>,DC=<mydomain>,DC=<local>"
SearchFilter "(samaccountname=%u)"
RequireGroup true
<Group>
BaseDN "<FULL DN OF YOUR GROUP>"
SearchFilter "(objectClass=group)"
MemberAttribute uniqueMember
</Group>
</Authorization>
如果第二个不起作用,请尝试这样:
<Authorization>
BaseDN "OU=<where_users_accounts_are>,DC=<mydomain>,DC=<local>"
SearchFilter "(samaccountname=%u)"
RequireGroup true
<Group>
BaseDN "OU=<where_group_vpn_is>,DC=<mydomain>,DC=<local>"
SearchFilter "(&(objectClass=group)(cn=<CN_OF_THE_GROUP>))"
MemberAttribute uniqueMember
</Group>
</Authorization>
答案 1 :(得分:0)
问题出在与ldap的连接中,我必须指定端口3268,而不是默认端口。
完整文件如下:
<LDAP>
URL ldap://myip:3268
BindDN "CN=myuser,OU=MyOU,DC=my,DC=domain"
Password myuserpass
Timeout 30
TLSEnable no
FollowReferrals yes
</LDAP>
<Authorization>
BaseDN "DC=my,DC=domain"
SearchFilter "(&(sAMAccountName=%u)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))"
RequireGroup true
<Group>
BaseDN "OU=MyOU,DC=my,DC=domain"
SearchFilter "(cn=NameofGroupwithAccess)"
MemberAttribute "member"
</Group>
</Authorization>