OpenVPN与Active Directory集成

OpenVPN与Active Directory集成

是否有人成功运行了集成 Active Directory 的 OpenVPN?您是否正在使用openvpn.net或者openvpn.net/opensourceOpenVPN 的版本?有什么提示、技巧或陷阱吗?还是“刚好可用?”(是的,我见过如何但有时操作方法并不像我想象的那么简单)。

背景故事:我有一台非常老旧的思科集中器(3000 系列),需要更换。我希望更换的设备能够集成 AD 用户/密码。我手头有一堆相当现代的 HP DL320 机箱,这让我想到了 OpenVPN 的想法……

答案1

我更喜欢使用 PAM(使用 LDAP 或 Kerberos)进行 OpenVPN 身份验证,因为这是最灵活的解决方案。我有一种印象,OpenVPN 提供的 LDAP 插件是一种肮脏的临时解决方案——与 PAM 的 LDAP 或 Kerberos 插件相比毫无意义。我时不时会遇到问题,即拒绝正确的用户凭据访问,重试即可解决该问题。我当前的(生产)设置针对 PAM 进行身份验证。PAM 堆栈在 OpenVPN 身份验证的顶部有 Kerberos(pam_krb5)。每天有近 100 名用户使用。您可以使用 PAM 做很多事情(多种身份验证机制、多种来源等)。

答案2

使用开源版本,您可以使用“auth-user-pass-verify”选项编写自己的身份验证脚本。

我从未将其投入生产,但我确实编写了一个可以根据我的目录对用户进行身份验证的工作脚本。

另一个选择是openvpn-身份验证-ldap插入。

答案3

我们需要对 openvn 安装(哪个组/OU 集成)进行 AD 身份验证,并发现最简单的方法是使用 radius 插件使用 Windows Internet 身份验证服务(即 win2003 radius)

并不是说 auth-ldap 不能很好地工作,只是 radius 集成最终让我们更容易工作(YMMV)

事后发现,商业产品 openvpn-AS(或您所说的 openvpn.net)开箱即用,效果非常好,适用于 radius 和 LDAP 身份验证,并且许可费用非常低 - 适用于并发连接而不是指定用户(50 个并发连接收费 250 美元,提供较小的捆绑包)。此外,用户接受度也很好,使新用户和现有客户端的迁移相对轻松。

答案4

我想我唯一的问题是,当 MS 已经内置了一个完全可以接受的 vpn 解决方案时,为什么还要处理开放 VPN。当然,这取决于你的情况,但我的天啊,它真的很容易实现。

相关内容