Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!

Ogłoszenie

Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.

#1  2016-06-09 11:01:17

  diabolic - Użytkownik

diabolic
Użytkownik
Skąd: okolice Leżajska
Zarejestrowany: 2007-10-08

[SOLVED] OpenVPN auth ldap wraz z wewnętrznym serwerem ldap samby 4

Witam.
Od kilku dni walczę, aby spiąć uwierzytelnianie openvpn (login, hasło) z wewnętrznym serwerem ldap samby 4. Obecnie konfiguracja openvpn - openldap działa cacy, niestety nijak nie mogę spiąć openvpn z sambą. Mógłby ktoś coś nakierować gdzie leży błąd
pliki konfiguracj pluginu auth-ldapi:

Kod:

<LDAP>
# LDAP server URL
URL ldap://localhost

# Bind DN (If your LDAP server doesn’t support anonymous binds)
BindDN cn=Administrator,cn=Users,dc=xxx,dc=xxx

# Bind Password
Password tajne_haslo

# Network timeout (in seconds)
Timeout 15

# Enable Start TLS
TLSEnable no
# Follow LDAP Referrals (anonymously)
FollowReferrals yes

# TLS CA Certificate File
#TLSCACertFile /var/lib/samba/private/tls/ca.pem

# TLS CA Certificate Directory
#TLSCACertDir /var/lib/samba/private/tls

# Client Certificate and key
# If TLS client authentication is required
#TLSCertFile /var/lib/samba/private/tls/cert.pem
#TLSKeyFile /var/lib/samba/private/tls/key.pem

# Cipher Suite
# The defaults are usually fine here
# TLSCipherSuite ALL:!ADH:@STRENGTH
</LDAP>

<Authorization>
# Base DN
BaseDN "dc=xxx,dc=xxx"

# User Search Filter
#SearchFilter “(&(uid=%u)(accountStatus=active))”
SearchFilter "(&(uid=%u))"
#SearchFilter “(&(sAMAccountName=%u)(msNPAllowDialin=TRUE))”
#SearchFilter “(&(sAMAccountName=%u))”

# Require Group Membership
RequireGroup false

# Add non-group members to a PF table (disabled)
#PFTable ips_vpn_users

#<Group>
#BaseDN "ou=groups,dc=pxm,dc=pl"
#SearchFilter "(cn=vpn-users)"
#MemberAttribute “member”
# Add group members to a PF table (disabled)
#PFTable ips_vpn_eng
#</Group>
</Authorization>

błąd który zwraca openvpn przy obecnej konfiguracji: (użytkownik jest na 100% dodany do domeny, na innych też próbowałem i to samo)i:

Kod:

LDAP search failed: Operations error (00002020: Operation unavailable without authentication)
LDAP user "openvpn" was not found.

W configu samby dodatkowo dałem:

Kod:

        ldap server require strong auth = no
        tls verify peer = no_check

bo wcześniej pluło:

Kod:

LDAP bind failed: Strong(er) authentication required (BindSimple: Transport encryption required.)

Z góry dzięki za pomoc

Ostatnio edytowany przez diabolic (2016-06-15 11:25:13)


I am the one who chose my path

Offline

 

#2  2016-06-09 15:12:55

  jurgensen - Użytkownik

jurgensen
Użytkownik
Skąd: Wrocław
Zarejestrowany: 2010-01-26

Re: [SOLVED] OpenVPN auth ldap wraz z wewnętrznym serwerem ldap samby 4

Nie używałem nigdy tego pluginu, pisałem swój własny skrypt do uwierzytelnienia przez AD, ale tak na szybko:

* AD wymaga ldaps, nie ldap (chyba nawet nie słucha na 389)
* schema w AD nie zawiera atrybutu uid tylko sAMAccountName
* No i na dokładkę, używanie konta administratora do bindowania się jest fatalnym pomysłem

Offline

 

#3  2016-06-09 19:17:56

  diabolic - Użytkownik

diabolic
Użytkownik
Skąd: okolice Leżajska
Zarejestrowany: 2007-10-08

Re: [SOLVED] OpenVPN auth ldap wraz z wewnętrznym serwerem ldap samby 4

Dzięki za podpowiedź. Na szczęście udało mi się to rozwiązać jeszcze przed twoim postem. Odnośnie twoich punktów:
- AD słucha na 389, z tym że jeśli się nie ustawi w configu samby atrybutów o których pisałem to nie "puści" do serwera tylko zgłosi błędem o słabych zabezpieczeniach, tutaj tylko chwilowo wyłączyłem, aby mi to chociaż ruszyło
- tak dokładnie atrybuty uid użytkowinków nie były ustawione i tu też był problem, w tym rozwiązaniu akurat wystarczyło je poustawiać tak jak nazwy użytkownika, niestety plugin się coś pluł jak z filtr ustawiło się sAMAccountName, że jest zły filtr, a skoro użytkowników miałem nie dużo do szybciej było mi ustawić każdemu parametr uid, inną rzeczą, która jeszcze bruździła, był parametr

Kod:

BaseDN = dc=xxx,dc=xxx

niestety w tym wypadku występował właśnie błąd o którym pisałem, w tym wypadku pomogło dodanie w drzewie OU=people i tam przeniesienie wszystkich OU w których byli użytkownicy, po tej operacji i dodaniu do parametru BaseDN kolejnego ou=people wszystko ruszyło.

- tak zgadzam się bindowanie administorem jest kiepskim pomysłem, ale tak jak pisałem wcześniej chciałem to wreszcie uruchomić i usuwałem po kolei rzeczy które mogą bruździć, potem to zmieniłem.

Obecnie wszystko już chodzi tak jak powinno, jeśli chodzi o uwierzytelnianie użytkowników. Niestety borykam się jeszcze z jednym problemem jeśli chodzi o OpenVPN, to od razu zapytam tutaj aby nie zakładać nowego wątku. Otóż chcę, aby po połączeniu po vpn zmapowało użytkownikom dyski na windowsie, z dowiązaniami do udostępnionych rzeczy. O ile jak się już całkowicie użytkownik połączy i uruchomi skrypt ręcznie po połączeniu to dyski są montowane. Niestety nie działa to jeśli do konfiguracji klienta openpvn jako parametr "up" da się ten skrypt  to już niestety coś już nie chce podmontować. Zauważyłem tylko, że tak jakby skrypt się wykonywał przed całkowitym połączeniem. Konfiguracja openvpn jest zrobiona pod routing nie bridge, jeśli to gra jakąś rolę.

Ostatnio edytowany przez diabolic (2016-06-09 19:24:46)


I am the one who chose my path

Offline

 

#4  2016-06-09 21:10:42

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/urandom
Zarejestrowany: 2008-01-07

Re: [SOLVED] OpenVPN auth ldap wraz z wewnętrznym serwerem ldap samby 4

Nie prościej OpenVPN zapiąć do PAM? potem można PAM puścić przez Radiusa, LDAP, SQL, do tego jest też [b]pam_mount[/b], [b]pam_env[/b], [b]pam_exec[/b],  do wyboru, do koloru,  i łatwo przełączać sposoby autoryzacji w PAM, kiedy jest taka nagła potrzeba.
W przypadku zmiany sposobu autoryzacji w takim wypadku w ogóle nie trzeba ruszać konfigów OpenVPN, wszystko zrobi PAM.

Pozdro
;-)

Ostatnio edytowany przez Jacekalex (2016-06-09 21:14:28)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#5  2016-06-09 22:10:08

  diabolic - Użytkownik

diabolic
Użytkownik
Skąd: okolice Leżajska
Zarejestrowany: 2007-10-08

Re: [SOLVED] OpenVPN auth ldap wraz z wewnętrznym serwerem ldap samby 4

Obecnie połączenie openvpn + ldap sprawdza mi się bardzo dobrze i nie będę tego zmieniał, zaś pam i przytoczone przez Ciebie "ficzersy" to już będą na komputerach w sieci firmowej gdzie są Linuxy. Na chwilę obecną muszę rozwiązać problem z  automatycznym montowaniem zasobów dla użytkowników łączących się przez tunel vpn na windowsach.

Ostatnio edytowany przez diabolic (2016-06-15 11:25:35)


I am the one who chose my path

Offline

 

Stopka forum

Powered by PunBB
© Copyright 2002–2005 Rickard Andersson
Możesz wyłączyć AdBlock — tu nie ma reklam ;-)

[ Generated in 0.022 seconds, 12 queries executed ]

Informacje debugowania

Time (s) Query
0.00034 SET CHARSET latin2
0.00006 SET NAMES latin2
0.00240 SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='18.189.194.44' WHERE u.id=1
0.00155 REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '18.189.194.44', 1732747535)
0.00050 SELECT * FROM punbb_online WHERE logged<1732747235
0.00118 DELETE FROM punbb_online WHERE ident='18.227.0.57'
0.00091 SELECT topic_id FROM punbb_posts WHERE id=302183
0.00017 SELECT id FROM punbb_posts WHERE topic_id=28687 ORDER BY posted
0.00080 SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=28687 AND t.moved_to IS NULL
0.00021 SELECT search_for, replace_with FROM punbb_censoring
0.00188 SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=28687 ORDER BY p.id LIMIT 0,25
0.00896 UPDATE punbb_topics SET num_views=num_views+1 WHERE id=28687
Total query time: 0.01896 s