Se trata de una descripción detallada sobre cómo configurar la edición comunitaria de OpenVPN para el LastPass Universal Proxy con el protocolo LDAP, a fin de establecer LastPass MFA como un método de autenticación secundario. Los siguientes pasos describen la configuración asociada del Universal Proxy.
Acerca de esta actividad:
Nota: La edición comunitaria de OpenVPN no tiene una interfaz gráfica de usuario (GUI). La configuración se realiza con la interfaz de línea de comandos (CLI).
Nota: Dado que la edición comunitaria de OpenVPN gestiona las solicitudes de autenticación entrantes en un único hilo, un cliente puede iniciar sesión en cualquier momento. Por lo tanto, se puede prever un mayor tiempo de espera.
- Instale el plugin de LDAP de OpenVPN (openvpn-auth-ldap) en su servidor para acceder a las bibliotecas y los archivos de configuración necesarios.
Resultado: Se instalará el archivo de configuración de autenticación LDAP de OpenVPN (auth-ldap.conf).
- Configure el servidor OpenVPN para la autenticación LDAP con el archivo auth-ldap.conf. Defina los siguientes ajustes:
-
URL
-
La dirección IP o el nombre DNS del Universal Proxy.
-
BindDN
-
El nombre de usuario de administrador que haya configurado para la autenticación LDAP con el siguiente formato:
CN=admin,CN=usuarios,DC=dominio,DC=código_país
-
Contraseña
-
La contraseña del usuario administrador de LDAP.
-
Tiempo de espera
-
61
-
TLSEnable
-
no
-
BaseDN
-
DN base en el que se encuentran los usuarios, que tiene el siguiente formato:
cn=usuarios, dc=dominio, dc=código_país.
-
SearchFilter
-
"(&(userPrincipalName=%u))"
-
RequireGroup
-
false
-
Group: BaseDN
-
DN base en el que se encuentran los usuarios, que tiene el siguiente formato:
cn=usuarios, dc=dominio, dc=código_país.
-
Grupo: filtro de búsqueda
-
"(|(userPrincipalName=%u))"
-
Grupo: MemberAttribute
-
uniqueMember o
sAMAccountname, según la configuración del Universal Proxy.
Ejemplo:
URL ldap://
:389 BindDN cn=Admin,cn=Users,dc=domain,dc=country_code Password ************** Timeout 61 TLSEnable no
BaseDN "cn=Users,dc=domain,dc=country_code" SearchFilter "(&(userPrincipalName=%u))" RequireGroup false
BaseDN "cn=Users,dc=domain,dc=country_code" SearchFilter "(|(userPrincipalName=%u))" MemberAttribute uniqueMember
- Añada las siguientes opciones al archivo de configuración del servidor de OpenVPN (server.conf):
- Ruta del archivo de configuración para leer los atributos. Úsela para autenticar usuarios. Por ejemplo:
plugin /usr/lib/openvpn/openvpn-auth-ldap.so /etc/openvpn/auth-ldap.conf login
- Ejecútelo para usar el nombre de usuario y la contraseña durante la autenticación:
username-as-common-name
- Desactive la autenticación del certificado en el lado del cliente:
client-cert-not-required
Ejemplo:
port 1194 proto tcp dev tun ca ca.crt cert server.crt key server.key # This file should be kept secret dh dh.pem plugin /usr/lib/openvpn/openvpn-auth-ldap.so /etc/openvpn/auth-ldap.conf login server 10.8.0.0 255.255.255.0 ifconfig-pool-persist /var/log/openvpn/ipp.txt username-as-common-name keepalive 10 120 client-cert-not-required cipher AES-256-GCM user nobody group nogroup persist-key persist-tun status /var/log/openvpn/openvpn-status.log log /var/log/openvpn/openvpn.log log-append /var/log/openvpn/openvpn.log verb 6 explicit-exit-notify 0
- Habilite la autenticación del nombre de usuario y la contraseña del cliente. Para ello, añada auth-user-pass:
client
dev tun
proto tcp
remote 20.67.97.220 1194
resolv-retry infinite
nobind
;user nobody
;group nogroup
persist-key
persist-tun
;remote-cert-tls server
client-cert-not-required
username-as-common-name
;tls-auth ta.key 1
auth-user-pass
cipher AES-256-GCM
verb 6
;mute 20
-----BEGIN CERTIFICATE----- *********** -----END CERTIFICATE-----
- Reinicie el servidor de OpenVPN para aplicar los cambios.
Resultados: Se ha configurado la VPN de edición comunitaria de OpenVPN.
