Im Folgenden wird Schritt für Schritt beschrieben, wie Sie OpenVPN Community Edition für LastPass Universal Proxy unter Verwendung des LDAP-Protokolls konfigurieren, um LastPass MFA als sekundäre Authentifizierungsmethode einzustellen. Die folgenden Schritte enthalten die Einstellungen für Universal Proxy.
Über diese Aufgabe:
Hinweis: OpenVPN Community Edition verfügt nicht über eine grafische Benutzeroberfläche (GUI). Die Einstellungen werden über die Befehlszeilenschnittstelle (CLI) vorgenommen.
Hinweis: Da OpenVPN Access Server die eingehenden Authentifizierungsanfragen in einem einzigen Thread verarbeitet, kann sich jeweils nur ein Client anmelden. Es ist daher mit einer erhöhten Wartezeit zu rechnen.
- Installieren Sie das OpenVPN-LDAP-Plugin openvpn-auth-ldap auf Ihrem Server, damit Sie die erforderlichen Bibliotheken und Konfigurationsdateien erhalten.
Ergebnis: Die Konfigurationsdatei auth-ldap.conf zur LDAP-Authentifizierung bei OpenVPN wird installiert.
- Konfigurieren Sie den OpenVPN-Server für die LDAP-Authentifizierung mithilfe der Datei auth-ldap.conf. Legen Sie Folgendes fest:
-
URL
-
Die IP-Adresse oder der DNS-Name des Universal Proxy.
-
BindDN
-
Der für die LDAP-Authentifizierung konfigurierte Admin-Benutzername im folgenden Format:
CN=Admin,CN=Users,DC=domain,DC=country_code.
-
Password
-
Das Passwort des LDAP-Admin-Benutzers.
-
Timeout
-
61
-
TLSEnable
-
no
-
BaseDN
-
Der Basis-DN, unter dem sich die Benutzer befinden, in folgendem Format:
cn=Users,dc=domain,dc=country_code.
-
SearchFilter
-
"(&(userPrincipalName=%u))"
-
RequireGroup
-
false
-
Group - BaseDN
-
Der Basis-DN, unter dem sich die Benutzer befinden, in folgendem Format:
cn=Users,dc=domain,dc=country_code.
-
Group - Searchfilter
-
"(|(userPrincipalName=%u))"
-
Group – MemberAttribute
-
uniqueMember oder
sAMAccountname, je nach Konfiguration des Universal-Proxys.
Beispiel:
URL ldap://
:389 BindDN cn=Admin,cn=Users,dc=domain,dc=country_code Password ************** Timeout 61 TLSEnable no
BaseDN "cn=Users,dc=domain,dc=country_code" SearchFilter "(&(userPrincipalName=%u))" RequireGroup false
BaseDN "cn=Users,dc=domain,dc=country_code" SearchFilter "(|(userPrincipalName=%u))" MemberAttribute uniqueMember
- Fügen Sie der OpenVPN-Server-Konfigurationsdatei server.conf die folgenden Optionen hinzu
- Pfad der Konfigurationsdatei, um die Attribute zu lesen und damit Benutzer zu authentifizieren. Zum Beispiel:
plugin /usr/lib/openvpn/openvpn-auth-ldap.so /etc/openvpn/auth-ldap.conf login
- Erzwingen der Verwendung von Benutzername und Passwort für die Authentifizierung:
username-as-common-name
- Ausschalten der Zertifikatsauthentifizierung auf der Client-Seite:
client-cert-not-required
Beispiel:
port 1194 proto tcp dev tun ca ca.crt cert server.crt key server.key # This file should be kept secret dh dh.pem plugin /usr/lib/openvpn/openvpn-auth-ldap.so /etc/openvpn/auth-ldap.conf login server 10.8.0.0 255.255.255.0 ifconfig-pool-persist /var/log/openvpn/ipp.txt username-as-common-name keepalive 10 120 client-cert-not-required cipher AES-256-GCM user nobody group nogroup persist-key persist-tun status /var/log/openvpn/openvpn-status.log log /var/log/openvpn/openvpn.log log-append /var/log/openvpn/openvpn.log verb 6 explicit-exit-notify 0
- Aktivieren Sie die Client-Benutzernamen- und Passwort-Authentifizierung, indem Sie auth-user-pass hinzufügen:
client
dev tun
proto tcp
remote 20.67.97.220 1194
resolv-retry infinite
nobind
;user nobody
;group nogroup
persist-key
persist-tun
;remote-cert-tls server
client-cert-not-required
username-as-common-name
;tls-auth ta.key 1
auth-user-pass
cipher AES-256-GCM
verb 6
;mute 20
-----BEGIN CERTIFICATE----- *********** -----END CERTIFICATE-----
- Starten Sie den OpenVPN-Server neu, um die Änderungen zu übernehmen.
Ergebnisse: Das OpenVPN Community Edition VPN wurde konfiguriert.
