OpenVPN与Active Directory集成

Question 1

我更喜欢使用 PAM（使用 LDAP 或 Kerberos）进行 OpenVPN 身份验证，因为这是最灵活的解决方案。我有一种印象，OpenVPN 提供的 LDAP 插件是一种肮脏的临时解决方案——与 PAM 的 LDAP 或 Kerberos 插件相比毫无意义。我时不时会遇到问题，即拒绝正确的用户凭据访问，重试即可解决该问题。我当前的（生产）设置针对 PAM 进行身份验证。PAM 堆栈在 OpenVPN 身份验证的顶部有 Kerberos（pam_krb5）。每天有近 100 名用户使用。您可以使用 PAM 做很多事情（多种身份验证机制、多种来源等）。

Answer

我更喜欢使用 PAM（使用 LDAP 或 Kerberos）进行 OpenVPN 身份验证，因为这是最灵活的解决方案。我有一种印象，OpenVPN 提供的 LDAP 插件是一种肮脏的临时解决方案——与 PAM 的 LDAP 或 Kerberos 插件相比毫无意义。我时不时会遇到问题，即拒绝正确的用户凭据访问，重试即可解决该问题。我当前的（生产）设置针对 PAM 进行身份验证。PAM 堆栈在 OpenVPN 身份验证的顶部有 Kerberos（pam_krb5）。每天有近 100 名用户使用。您可以使用 PAM 做很多事情（多种身份验证机制、多种来源等）。

Question 2

使用开源版本，您可以使用“auth-user-pass-verify”选项编写自己的身份验证脚本。

我从未将其投入生产，但我确实编写了一个可以根据我的目录对用户进行身份验证的工作脚本。

另一个选择是openvpn-身份验证-ldap插入。

Answer

使用开源版本，您可以使用“auth-user-pass-verify”选项编写自己的身份验证脚本。

我从未将其投入生产，但我确实编写了一个可以根据我的目录对用户进行身份验证的工作脚本。

另一个选择是openvpn-身份验证-ldap插入。

Question 3

我们需要对 openvn 安装（哪个组/OU 集成）进行 AD 身份验证，并发现最简单的方法是使用 radius 插件使用 Windows Internet 身份验证服务（即 win2003 radius）

并不是说 auth-ldap 不能很好地工作，只是 radius 集成最终让我们更容易工作（YMMV）

事后发现，商业产品 openvpn-AS（或您所说的 openvpn.net）开箱即用，效果非常好，适用于 radius 和 LDAP 身份验证，并且许可费用非常低 - 适用于并发连接而不是指定用户（50 个并发连接收费 250 美元，提供较小的捆绑包）。此外，用户接受度也很好，使新用户和现有客户端的迁移相对轻松。

Answer

我们需要对 openvn 安装（哪个组/OU 集成）进行 AD 身份验证，并发现最简单的方法是使用 radius 插件使用 Windows Internet 身份验证服务（即 win2003 radius）

并不是说 auth-ldap 不能很好地工作，只是 radius 集成最终让我们更容易工作（YMMV）

事后发现，商业产品 openvpn-AS（或您所说的 openvpn.net）开箱即用，效果非常好，适用于 radius 和 LDAP 身份验证，并且许可费用非常低 - 适用于并发连接而不是指定用户（50 个并发连接收费 250 美元，提供较小的捆绑包）。此外，用户接受度也很好，使新用户和现有客户端的迁移相对轻松。

Question 4

我想我唯一的问题是，当 MS 已经内置了一个完全可以接受的 vpn 解决方案时，为什么还要处理开放 VPN。当然，这取决于你的情况，但我的天啊，它真的很容易实现。

Answer

我想我唯一的问题是，当 MS 已经内置了一个完全可以接受的 vpn 解决方案时，为什么还要处理开放 VPN。当然，这取决于你的情况，但我的天啊，它真的很容易实现。

OpenVPN与Active Directory集成

答案1

答案2

答案3

答案4

相关内容