Centos配置OpenVPN+OpenLDAP认证

已于 2023-05-13 07:38:16 修改
阅读量2.5k 收藏 7
点赞数 2
分类专栏: 运维 文章标签: centos 服务器 linux ldap
于 2023-05-12 17:57:30 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ytraister/article/details/130645082
版权

Centos配置OpenVPN+OpenLDAP认证

Centos搭建OpenVPN的环境有很多资料,自行查询配置

一、安装openvpn-auth-ldap插件

yum -y install epel-release
yum -y install openvpn-auth-ldap
cp /etc/openvpn/auth/ldap.conf /etc/openvpn/auth/ldap.conf.bak

二、配置ldap.conf文件

vim /etc/openvpn/auth/ldap.conf
修改如下内容:

<LDAP>
    URL ldap://192.168.9.999:389    	# 自己的ldap服务器地址
    Timeout 15
    TLSEnable no
</LDAP>

<Authorization>
    BaseDN "ou=users,dc=ss,dc=com"      # 这里的dc是你ldap服务器中设置的域名等
    SearchFilter "(uid=%u)"
    RequireGroup false
    <Group>
      BaseDN "dc=ss,dc=com"
      SearchFilter "(|(cn=developers)(cn=artists))"
      MemberAttribute uniqueMember
    </Group>
</Authorization>

三、配置openvpn中的server.conf文件

vim /etc/openvpn/server.conf
修改如下内容:

duplicate-cn                                   # 定义openvpn一个证书在同一时刻是否允许多个客户端接入,默认没有启用
server 10.1.0.0 255.255.240.0                  # 设置vpn给予的ip地址范围在10.1.0.0/20网段内(涵盖10.1.0.0-10.1.0.15网段)
;push "route 192.168.1.0 255.255.255.0"        # 注释掉原先定义的推送路由(后面会给每个用户设置他们的访问权限等)
;push "route 192.168.9.0 255.255.255.0"
client-config-dir ccd                          # 开启配置文件夹功能,用于配置用户/组能使用vpn拿到的虚拟ip地址和访问的网段

# 新增如下:(openldap 认证配置项)
plugin /usr/lib64/openvpn/plugin/lib/openvpn-auth-ldap.so "/etc/openvpn/auth/ldap.conf"
client-cert-not-required
script-security 3
username-as-common-name
client-connect connect.sh                      # 有新连接 连接时执行脚本(后面会根据该脚本给每个用户设置他们的访问权限等)

四、配置客户端client.ovpn文件

修改如下内容:

# 注释如下证书
;cert client.crt
;key client.key

# 新增验证方式
ns-cert-type server
auth-user-pass

五、开启路由转发功能

yum -y install iptables-services
systemctl enable iptables --now
iptables -t nat -A POSTROUTING -s 10.1.0.0/20 -o eth0 -j MASQUERADE     # 添加iptables规则,确保服务器可以转发数据包到外网
iptables-save > /etc/sysconfig/iptables                                 # 永久保存
iptables -t nat -L                                                      # 查看iptables路由转发信息

# 下面是清除iptables nat表规则的命令
iptables -t nat -F

六、脚本编辑

公司的ldap组织架构如图所示:
在这里插入图片描述
脚本设计思路:

  1. blacklist组是离职的,所以只在users中查找对应的用户uid
  2. 当客户端输入用户名密码,ldap会先识别用户名密码输入是否正确
  3. 查询ccd目录下是否有同用户名一样的common_name文件存在?若存在,则openvpn会从该目录下调用与用户名相同名称的策略
    若不存在,则用ldapsearch查询在某个组里面是否有该用户存在。若有该用户,则拷贝该组的访问策略并重命名到指定的ccd目录下,下次可直接调用
mkdir /etc/openvpn/ccd             # 用于客户端输入用户名密码后,调用哪个配置文件(下面的脚本会让其拷贝rules中组的配置信息)
mkdir /etc/openvpn/rules           # 用于配置存放ldap用户对应组能使用openvpn的哪个虚拟ip地址、访问哪些网段

设置caiwu组的成员分配到10.1.4.5和10.1.4.9两个虚拟ip地址使用(若有组内有多个成员,则需要给足虚拟ip地址)
虚拟ip地址需要遵循特定规则,详细见:https://blog.csdn.net/dl_wdp/article/details/119324734https://blog.csdn.net/qdwyj/article/details/108151198
设置caiwu组的成员连接vpn后,可以访问内网中的1、4网段

vim /etc/openvpn/rules/caiwu

ifconfig-push 10.1.4.5 10.1.4.6
ifconfig-push 10.1.4.9 10.1.4.10
push "route 192.168.1.0 255.255.255.0"
push "route 192.168.4.0 255.255.255.0"

要想执行ldapsearch查询,需要安装openldap-clients才行:yum install openldap-clients
测试是否能正常访问到ldap,获取ldap信息:ldapsearch -x -b 'dc=ss,dc=com' -H ldap://192.168.9.999

vim /etc/openvpn/connect.sh

#!/bin/bash
if [[ ! -f "/etc/openvpn/ccd/${common_name}" ]]; then
  echo "查询到用户对应的common_name文件未在ccd目录中存在,拒绝访问!"
 
if ( ldapsearch -x -LLL -b 'ou=产品,ou=users,dc=ss,dc=com' -H ldap://192.168.9.999 "uid=${common_name}" | grep -c dn ); then
  echo "找到了用户 ${common_name},执行操作"
  cp /etc/openvpn/rules/chanpin /etc/openvpn/ccd/${common_name}
fi
 
if ( ldapsearch -x -LLL -b 'ou=财务,ou=users,dc=ss,dc=com' -H ldap://192.168.9.999 "uid=${common_name}" | grep -c dn ); then
  echo "找到了用户 ${common_name},执行操作"
  cp /etc/openvpn/rules/caiwu /etc/openvpn/ccd/${common_name}
fi
 
......
 
exit 1
fi

chmod +x /etc/openvpn/connect.sh

七、测试

直接用户名、密码登录即可。rules目录中的规则根据业务实际情况去自定义。

ytraister
关注
专栏目录
【DevOps】2021.11 centos7搭建公司内网链接 ,集成openldap服务统一账号管理登录内网服务
CN_Eden
11-15 781
安装环境 服务性质 公网IP 私网IP CentOS7 服务端 8.142.118.12 eth0:172.16.0.37 Windows10 客户端 - 无线局域网适配器 WLAN:192.168.49.22 效果 三种登录方式,个人建议使用ldap登录,可以在ldap服务中指定组权限限制登录等操作 配置 无密码认证 个人认证 统一认证 认证方式 配置无密码证书 配置有密码证书 集成ldap服务 登录方式 无需输入用户名和密码登录 输入个人密码登录 输入用户名和
OpenLDAP开启MemberOf及配置主从
格子的博客
07-05 1588
很多场景下,我们需要快速的查询某一个用户是属于哪一个或多个组的。`memberOf` 正是提供了这样的一个功能:如果某个组中通过 `member` 属性新增了一个用户,`OpenLDAP` 便会自动在该用户上创建一个 `memberOf` 属性,其值为该组的 `dn`。遗憾的是,`OpenLDAP` 默认并不启用这个特性,因此我们需要通过相关的配置开启它...............
Centos7 安装配置OpenLdap服务及OpenLdap管理工具
umke888的博客
01-12 1万+
Centos7 安装配置OpenLdap服务及OpenLdap管理工具 我们上一篇文章中介绍了,Centos7+Openvpn使用Windows AD(LDAP)验证登录的配置介绍。说到LDAP服务,我们知道不止windows有,linux下也有,比如openldap,sambaLDAP服务,具体就不多介绍了,我们今天主要介绍一下Centos7 安装配置OpenLdapLdap管理工具等操作,
OpenVP*整合ldap认证
友人A的博客
06-10 1150
ldap服务器已经安装:OpenLDAP安装部署通过部署知道LDAP目录树,其中基准dc=xph,dc=com是该树的根节点:该根节点有一个管理域cn=manager,dc=xph,dc=com 和一个组织单元dc=svn,dc=xph,dc=com该组织单元下有两个子属性ou=People,dc=svn,dc=xph,dc=com 及ou=Group,dc=svn,dc=xph,dc=com主机IP:192.168.75.1291、系统信息 2、添加epel yum源 3、下载证书生成工具easy
史上最详细保姆级教程部署OpenVPN
最新发布
XLB
08-14 1万+
提供给公司与子公司或者公司个人与公司之间建立安全的数据传输
openvpn接入openldap
完颜振江
09-11 492
openvpn接入openldap
open集成openldap认证
完颜振江
01-30 1652
一、安装插件 yum -y install openvpn-auth-ldap 二、配置openvpn的server.conf local 0.0.0.0 port 1194 proto tcp dev tun ca /etc/openvpn/ca.crt cert /etc/openvpn/server.crt key /etc/openvpn/server.key dh /etc/openvpn/dh.pem server 10.222.2.0 255.255.255.0 ifconfig-p
CentOS OpenVPN 客户端连接配置
让梦想疯狂
06-21 1107
Linux配置 OpenVPN 客户端,通过 OpenVPN 连接到公司、服务器局域网。
CentOS 搭建 OpenVPN 服务
u010230019的博客
10-11 4986
VPN就是虚拟专用通道,是提供给企业之间或者公司个人与公司之间安全数据传输的隧道,OpenVPNLinux下开源VPN的先锋,提供了良好的性能和友好的用户GUI(图形用户界面)。本篇文章包含OpenVPN应用场景,OpenVPN服务端搭建,OpenVPN客户端搭建(windows+linux),OpenVPN密码认证!Server / Client 服务器端程序Easyrsa 证书生成程序Server端配置文件Client 端配置文件。
OpenLDAP 部署及实践(八)
展春秋的博客
02-05 956
Open LDAP结合OpenVPN 1. OpenVPN部署 1-1. 部署OpenVPN yum install -y openvpn easy-rsa systemctl restart openvpn@server.service 1-2. vpn结合ldap yum install -y openvpn-auth-ldap ll /usr/lib64/openvpn/plugin/lib/openvpn-auth-ldap.so vim /etc/openvpn/auth/ldap.co
Centos7.4 搭建 openvpn
wang11876的博客
06-15 2944
其实这三个文件就够了,之前全下载下来是因为方便,然而这次懒得弄了,哈哈,编写服务端配置文件。顺便提一下再添加用户在./easyrsa gen-req这里开始就行了,像是吊销用户证书的命令都自己用./easyrsa --help去看吧,GitHub项目地址。② 将得到的tokok_vpnc1.req导入然后签约证书。到这里服务端的证书就创建完了,然后创建客户端的证书。如果要生成多套证书,重复生成客户端①②③步骤即可。现在所有的证书都已经生成完了,下面来整理一下。① 创建客户端key及生成证书。
centos部署OpenVpn(一)
WTYX666的博客
05-14 6832
Centos7.7 作为服务端 Windows 10 作为客户端 关闭selinux [root@localhost ~]# setenforce 0 [root@localhost ~]# getenforce 安装epel仓库和openvpn, Easy-RSA [root@localhost ~]# yum -y install epel-release && yum -y install openvpn easy-rsa 配置EASY-RSA 3.0 在/etc/openvpn
CentOS7搭建OpenVPN
gyfghh的博客
01-15 4957
参考文档。
CentOS搭建Open服务(集成openldap认证)
完颜振江
02-08 1339
1、安装openvpn 和easy-rsa(该包用来制作ca证书) (1)安装epel 仓库源 wget http://dl.fedoraproject.org/pub/epel/6/i386/epel-release-6-8.noarch.rpm rpm -Uvh epel-release-6-8.noarch.rpm (2)安装openvpn yum install openvpn (3)在github 上,下载最新的easy-rsa https://github.com/OpenVP
centos7上搭建OpenVpn服务实现通信
czpp666666的博客
07-08 821
如何知道是选择53还是67,大部分的校园网只是因为没认证把你的流量重定向了,DNS解析服务并没有失效,在cmd中使用域名解析,如果成功解析说明53端口可用。想要通过哪一个端口进行vpn连接,这个看应用场景,如果是需要越过校园网认证上网就需要选择53或者67这类端口就行,这里模拟校园网认证,客户端安装openvpn,把aa.open文件复制到openvpn的config文件夹中。将其拷贝到需要使用vpn连接的客户端使用ssh客户端的sz命令即可。由于使用的是私网地址所以问咱们要公网,直接回车就行。
CentOS 7 安装 OpenVP*
一直被模仿,从未被超越
10-03 5755
链接:https://pan.baidu.com/s/19TzFko54Et5OQA6fsA3uKQ。1、安装 openvpn 和 easy-rsa(该包用来制作 ca 证书)4、创建Diffie-Hellman,确保key穿越不安全网络的命令。2、在安装目录 config下 创建 client.ovpn 文件。2、配置 /etc/openvpn/easy-rsa 目录。3、拷贝服务器客户端上的相关文件。5、生成 ta 密钥文件。3、创建 服务器端 证书。1、下载,安装在 D盘。1、创建一个模版文件。
centos 7安装openvpn服务端,以及用到的一些问题。
wei042的博客
04-12 2314
安装centos 7系统,配置好局域网静态ip,然后在公司路由器配置端口映射,访问代理服务器,记录的ip地址是代理服务器的ip。
CentOS搭建OpenVPN实现异地访问内网OA
轻舟已过万重山
05-03 4777
本期教大家如何使用OpenVPN来实现异地接入公司内网访问办公OA系统,解决异地办公的安全问题。主要应用于中小型企业的异地办公,异地组网等需求,大家可以以此作为参考。在这里我将使用云服务器来给大家做演示。
Centos7安装openvp-超详细
热门推荐
m0_69013817的博客
05-05 2万+
Centos7 安装openvp,超详细。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值