Centos配置OpenVPN+OpenLDAP认证

已于 2023-05-13 07:38:16 修改
阅读量1.9k 收藏 7
点赞数 1
分类专栏: 运维 文章标签: centos 服务器 linux ldap
于 2023-05-12 17:57:30 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ytraister/article/details/130645082
版权

Centos配置OpenVPN+OpenLDAP认证

Centos搭建OpenVPN的环境有很多资料,自行查询配置

一、安装openvpn-auth-ldap插件

yum -y install epel-release
yum -y install openvpn-auth-ldap
cp /etc/openvpn/auth/ldap.conf /etc/openvpn/auth/ldap.conf.bak

二、配置ldap.conf文件

vim /etc/openvpn/auth/ldap.conf
修改如下内容:

<LDAP>
    URL ldap://192.168.9.999:389    	# 自己的ldap服务器地址
    Timeout 15
    TLSEnable no
</LDAP>

<Authorization>
    BaseDN "ou=users,dc=ss,dc=com"      # 这里的dc是你ldap服务器中设置的域名等
    SearchFilter "(uid=%u)"
    RequireGroup false
    <Group>
      BaseDN "dc=ss,dc=com"
      SearchFilter "(|(cn=developers)(cn=artists))"
      MemberAttribute uniqueMember
    </Group>
</Authorization>

三、配置openvpn中的server.conf文件

vim /etc/openvpn/server.conf
修改如下内容:

duplicate-cn                                   # 定义openvpn一个证书在同一时刻是否允许多个客户端接入,默认没有启用
server 10.1.0.0 255.255.240.0                  # 设置vpn给予的ip地址范围在10.1.0.0/20网段内(涵盖10.1.0.0-10.1.0.15网段)
;push "route 192.168.1.0 255.255.255.0"        # 注释掉原先定义的推送路由(后面会给每个用户设置他们的访问权限等)
;push "route 192.168.9.0 255.255.255.0"
client-config-dir ccd                          # 开启配置文件夹功能,用于配置用户/组能使用vpn拿到的虚拟ip地址和访问的网段

# 新增如下:(openldap 认证配置项)
plugin /usr/lib64/openvpn/plugin/lib/openvpn-auth-ldap.so "/etc/openvpn/auth/ldap.conf"
client-cert-not-required
script-security 3
username-as-common-name
client-connect connect.sh                      # 有新连接 连接时执行脚本(后面会根据该脚本给每个用户设置他们的访问权限等)

四、配置客户端client.ovpn文件

修改如下内容:

# 注释如下证书
;cert client.crt
;key client.key

# 新增验证方式
ns-cert-type server
auth-user-pass

五、开启路由转发功能

yum -y install iptables-services
systemctl enable iptables --now
iptables -t nat -A POSTROUTING -s 10.1.0.0/20 -o eth0 -j MASQUERADE     # 添加iptables规则,确保服务器可以转发数据包到外网
iptables-save > /etc/sysconfig/iptables                                 # 永久保存
iptables -t nat -L                                                      # 查看iptables路由转发信息

# 下面是清除iptables nat表规则的命令
iptables -t nat -F

六、脚本编辑

公司的ldap组织架构如图所示:
在这里插入图片描述
脚本设计思路:

  1. blacklist组是离职的,所以只在users中查找对应的用户uid
  2. 当客户端输入用户名密码,ldap会先识别用户名密码输入是否正确
  3. 查询ccd目录下是否有同用户名一样的common_name文件存在?若存在,则openvpn会从该目录下调用与用户名相同名称的策略
    若不存在,则用ldapsearch查询在某个组里面是否有该用户存在。若有该用户,则拷贝该组的访问策略并重命名到指定的ccd目录下,下次可直接调用
mkdir /etc/openvpn/ccd             # 用于客户端输入用户名密码后,调用哪个配置文件(下面的脚本会让其拷贝rules中组的配置信息)
mkdir /etc/openvpn/rules           # 用于配置存放ldap用户对应组能使用openvpn的哪个虚拟ip地址、访问哪些网段

设置caiwu组的成员分配到10.1.4.5和10.1.4.9两个虚拟ip地址使用(若有组内有多个成员,则需要给足虚拟ip地址)
虚拟ip地址需要遵循特定规则,详细见:https://blog.csdn.net/dl_wdp/article/details/119324734https://blog.csdn.net/qdwyj/article/details/108151198
设置caiwu组的成员连接vpn后,可以访问内网中的1、4网段

vim /etc/openvpn/rules/caiwu

ifconfig-push 10.1.4.5 10.1.4.6
ifconfig-push 10.1.4.9 10.1.4.10
push "route 192.168.1.0 255.255.255.0"
push "route 192.168.4.0 255.255.255.0"

要想执行ldapsearch查询,需要安装openldap-clients才行:yum install openldap-clients
测试是否能正常访问到ldap,获取ldap信息:ldapsearch -x -b 'dc=ss,dc=com' -H ldap://192.168.9.999

vim /etc/openvpn/connect.sh

#!/bin/bash
if [[ ! -f "/etc/openvpn/ccd/${common_name}" ]]; then
  echo "查询到用户对应的common_name文件未在ccd目录中存在,拒绝访问!"
 
if ( ldapsearch -x -LLL -b 'ou=产品,ou=users,dc=ss,dc=com' -H ldap://192.168.9.999 "uid=${common_name}" | grep -c dn ); then
  echo "找到了用户 ${common_name},执行操作"
  cp /etc/openvpn/rules/chanpin /etc/openvpn/ccd/${common_name}
fi
 
if ( ldapsearch -x -LLL -b 'ou=财务,ou=users,dc=ss,dc=com' -H ldap://192.168.9.999 "uid=${common_name}" | grep -c dn ); then
  echo "找到了用户 ${common_name},执行操作"
  cp /etc/openvpn/rules/caiwu /etc/openvpn/ccd/${common_name}
fi
 
......
 
exit 1
fi

chmod +x /etc/openvpn/connect.sh

七、测试

直接用户名、密码登录即可。rules目录中的规则根据业务实际情况去自定义。

ytraister
关注
  • 1
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
centos7.3 +openldap+phpldapadmin+ssh
02-27
集成openldap,phpldapadmin和 ssh,centos7.3 用户自动创建家目录。
Centos7.4 搭建 openvpn
wang11876的博客
06-15 2587
其实这三个文件就够了,之前全下载下来是因为方便,然而这次懒得弄了,哈哈,编写服务端配置文件。顺便提一下再添加用户在./easyrsa gen-req这里开始就行了,像是吊销用户证书的命令都自己用./easyrsa --help去看吧,GitHub项目地址。② 将得到的tokok_vpnc1.req导入然后签约证书。到这里服务端的证书就创建完了,然后创建客户端的证书。如果要生成多套证书,重复生成客户端①②③步骤即可。现在所有的证书都已经生成完了,下面来整理一下。① 创建客户端key及生成证书。
Kali及Windows安装和使用OpenVPN
qq_51690690的博客
05-11 5305
Kali及Windows安装和使用OpenVPN
CentOS 搭建 OpenVPN 服务
u010230019的博客
10-11 3257
VPN就是虚拟专用通道,是提供给企业之间或者公司个人与公司之间安全数据传输的隧道,OpenVPNLinux下开源VPN的先锋,提供了良好的性能和友好的用户GUI(图形用户界面)。本篇文章包含OpenVPN应用场景,OpenVPN服务端搭建,OpenVPN客户端搭建(windows+linux),OpenVPN密码认证!Server / Client 服务器端程序Easyrsa 证书生成程序Server端配置文件Client 端配置文件。
OpenV P N + AD(Ldap) + GoogleAuth认证安装
weixin_34244102的博客
04-04 1720
申明:OpenV P N的基础安装这里不重复,可以看我之前写的文章:https://blog.51cto.com/tsing/2116485,安装完成之后,先不需要启动。接下来我们配置OpenV P N使用GoogleAuth的配置Ldap的安装略Linux 上用户密钥生成工具google-authenticator安装见:https://github.com/google/...
OpenVP共用账号 一个账号多台电脑登录
friendan的专栏
11-16 6027
使用 duplicate-cn,允许两个具有相同公用名的连接,因此一个证书可以由多个连接/用户使用. 如果没有 duplicate-cn,每个证书必须拥有自己的CN,因此每个连接/用户都有一个唯一的证书. ### Max clients limit max-clients 10 ### Internally route client-to-client traffic client-to-c...
VPN的搭建与使用--CentOS7.9(OpenVpn环境配置
热门推荐
songjiawang
04-24 2万+
vpn测试环境搭建,可用于IT工作者学习使用
openvpn接入openldap
完颜振江
09-11 252
openvpn接入openldap
open集成openldap认证
完颜振江
01-30 1540
一、安装插件 yum -y install openvpn-auth-ldap 二、配置openvpn的server.conf local 0.0.0.0 port 1194 proto tcp dev tun ca /etc/openvpn/ca.crt cert /etc/openvpn/server.crt key /etc/openvpn/server.key dh /etc/openvpn/dh.pem server 10.222.2.0 255.255.255.0 ifconfig-p
OpenVP*整合ldap认证
友人A的博客
06-10 1056
ldap服务器已经安装:OpenLDAP安装部署通过部署知道LDAP目录树,其中基准dc=xph,dc=com是该树的根节点:该根节点有一个管理域cn=manager,dc=xph,dc=com 和一个组织单元dc=svn,dc=xph,dc=com该组织单元下有两个子属性ou=People,dc=svn,dc=xph,dc=com 及ou=Group,dc=svn,dc=xph,dc=com主机IP:192.168.75.1291、系统信息 2、添加epel yum源 3、下载证书生成工具easy
记录在Centos8上安装OpenVPN的经历,以及无法解决的问题
红烧栗子黄瓜鱼的博客
06-19 4471
部署个vpn试试看。可惜最后遇到了一个暂时无法解决的问题。在此写篇文章记录下,如果有人看到的话有什么好的解决办法可以一起探讨下。
详解samba + OPENldap 搭建文件共享服务器问题
09-29
主要介绍了samba + OPENldap 搭建文件共享服务器,这里我使用的是 samba(文件共享服务) v4.9.1 + OPENldap(后端数据库软件) v2.4.44 + smbldap-tools(后端数据库管理软件) v0.9.11 + CentOS7。 需要的朋友可以参考下
centos6.4+openldap
06-15
环境:centos6.4 openldap 2.4.23 实践: 1.openldap安装配置 2.客户端配置 3.sudo的支持 4.漫游用户主目录配置 5.用户更改密码 6.安全加密 7.主从复制 8.权限控制
阿里云centos 6.5搭建svn + httpd + openldap环境
08-09
NULL 博文链接:https://highill.iteye.com/blog/2186454
CentOS 7 配置Tomcat9+MySQL方案
09-09
Tomcat是由Apache软件基金会下属的Jakarta项目开发的一个Servlet容器,按照Sun Microsystems提供的技术规范,实现了对Servlet和JavaServer Page(JSP)的支持,并提供了作为Web服务器的一些特有功能,如Tomcat管理和...
k8s学习(三十七)centos下离线部署kubernetes1.30(高可用)
文若书生的专栏
04-27 816
在k8s-master01 init后提示的不带control-plane的命令后添加–cri-socket unix:///var/run/cri-dockerd.sock。在初始化k8s集群的使用,IP填写的vip,这样安装好k8s集群之后,kubectl客户端而言,访问的vip:16443端口,该端口是nginx监听的端口,nginx会进行反向代理到3个master节点上的6443端口。(6)添加controlPlaneEndpoint处配置配置为VIP:16443。
改变 centos yum源 repo
nongcunqq的博客
04-26 431
下载对应版本repo文件, 放入/etc/yum.repos.d/(操作前请做好相应备份)centos 使用自带的 repo 源 速度慢,可以改为国内的,需要改两个地方。首先备份/etc/yum.repos.d/CentOS-Base.repo。centos7.repo 在阿里云下载。运行以下命令生成缓存。
centOS 7.9操作
2402_83095530的博客
04-27 377
创建一个用户。在创建的用户中再创建一个2024的目录。在2024的下在创建一个 1---10的目录,再创建一个·a--z.txt的文件。在创建一个2024bak的目录。再将当前用户的所有文件备份到2024bak的目录中。最后再查看备份是否成功。
若依:Linux Centos 7.9 安装部署RuoYi前后端集成版
最新发布
shunzi2016的博客
04-27 484
【代码】若依:Linux Centos 7.9 安装部署RuoYi前后端集成版。
centos7 openvpn搭建
06-07
好的,我可以为您提供一些关于 CentOS 7 上搭建 OpenVPN 的简单步骤: 1. 安装 OpenVPN 使用以下命令安装 OpenVPN: ``` yum install -y openvpn ``` 2. 配置 OpenVPN 创建一个新目录以存储配置文件: ``` mkdir /etc/openvpn/easy-rsa/ ``` 将 OpenVPN 的默认配置文件复制到新目录中: ``` cp -r /usr/share/easy-rsa/ /etc/openvpn/ ``` 进入 Easy-RSA 目录: ``` cd /etc/openvpn/easy-rsa/ ``` 编辑 vars 文件: ``` vi vars ``` 修改以下变量: ``` export KEY_COUNTRY="CN" export KEY_PROVINCE="BJ" export KEY_CITY="Beijing" export KEY_ORG="My Organization" export KEY_EMAIL="[email protected]" ``` 保存并关闭 vars 文件。 执行以下命令以设置 Easy-RSA: ``` source ./vars ./clean-all ./build-ca ./build-dh ./build-key-server server ``` 3. 配置 OpenVPN 服务器 创建一个 server.conf 文件: ``` vi /etc/openvpn/server.conf ``` 将以下内容添加到文件中: ``` port 1194 proto udp dev tun ca /etc/openvpn/easy-rsa/keys/ca.crt cert /etc/openvpn/easy-rsa/keys/server.crt key /etc/openvpn/easy-rsa/keys/server.key dh /etc/openvpn/easy-rsa/keys/dh2048.pem server 10.8.0.0 255.255.255.0 ifconfig-pool-persist ipp.txt push "redirect-gateway def1 bypass-dhcp" push "dhcp-option DNS 8.8.8.8" push "dhcp-option DNS 8.8.4.4" keepalive 10 120 comp-lzo user nobody group nobody persist-key persist-tun status openvpn-status.log verb 3 ``` 保存并关闭 server.conf 文件。 4. 启动 OpenVPN 服务器 使用以下命令启动 OpenVPN 服务器: ``` systemctl start openvpn@server ``` 确保 OpenVPN 服务器随系统启动自动启动: ``` systemctl enable openvpn@server ``` 至此,您已经成功地在 CentOS 7 上搭建了 OpenVPN 服务器

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值