Se trata de una descripción detallada sobre cómo configurar la edición comunitaria de OpenVPN para el LastPass Universal Proxy con el protocolo RADIUS, a fin de establecer LastPass MFA como un método de autenticación secundario. Los siguientes pasos describen la configuración asociada del Universal Proxy.
Acerca de esta actividad:
Nota: La edición comunitaria de OpenVPN no tiene una interfaz gráfica de usuario (GUI). La configuración se realiza con la interfaz de línea de comandos (CLI).
Nota: Dado que la edición comunitaria de OpenVPN gestiona las solicitudes de autenticación entrantes en un único hilo, un cliente puede iniciar sesión en cualquier momento. Por lo tanto, se puede prever un mayor tiempo de espera.
- Instale el plugin de RADIUS de OpenVPN (openvpn-auth-radius) en su servidor para acceder a las bibliotecas y los archivos de configuración necesarios.
Resultado: Se instalará el archivo de configuración de autenticación RADIUS de OpenVPN (radiusplugin.cnf).
- Configure el servidor OpenVPN para la autenticación de RADIUS con el archivo radiusplugin.cnf. Defina los siguientes ajustes:
-
Identificador de NAS
-
OpenVPN
-
Tipo de servicio
-
5
-
Protocolo de conexión
-
1
-
Tipo de portal de NAS
-
5
-
Dirección IP de NAS
-
Dirección IP de la edición comunitaria de OpenVPN.
-
OpenVPNConfig
-
Ruta al archivo de configuración de OpenVPN.
-
overwriteccfiles
-
true
-
acctport
-
1813
-
authport
-
1812
-
name
-
Dirección IP o nombre DNS del Universal Proxy.
-
retry
-
1
-
wait
-
61
-
sharedsecret
-
Secreto compartido de RADIUS, que se ha configurado en el LastPass Universal Proxy.
Ejemplo:
NAS-Identifier=OpenVpn Service-Type=5 Framed-Protocol=1 NAS-Port-Type=5 NAS-IP-Address=
OpenVPNConfig=/etc/openvpn/server/server.conf overwriteccfiles=true server { acctport=1813 authport=1812 name=
retry=1 # How long should the plugin wait for a response? wait=61 sharedsecret=********* }
- Añada los siguientes puntos al archivo de configuración del servidor de OpenVPN (server.conf):
- Ruta del archivo de configuración para leer los atributos. Úsela para autenticar usuarios. Por ejemplo:
plugin /usr/lib/openvpn/openvpn-radius-ldap.so /etc/openvpn/radiusplugin.cnf login
- Ejecútelo para usar el nombre de usuario y la contraseña durante la autenticación:
username-as-common-name
- Desactive la autenticación del certificado en el lado del cliente:
client-cert-not-required
Ejemplo:
port 1194 proto tcp dev tun ca ca.crt cert server.crt key server.key # This file should be kept secret dh dh.pem plugin /usr/lib/openvpn/openvpn-auth-radius.so /etc/openvpn/radiusplugin.cnf login server 10.8.0.0 255.255.255.0 ifconfig-pool-persist /var/log/openvpn/ipp.txt username-as-common-name keepalive 10 120 client-cert-not-required cipher AES-256-GCM user nobody group nogroup persist-key persist-tun status /var/log/openvpn/openvpn-status.log log /var/log/openvpn/openvpn.log log-append /var/log/openvpn/openvpn.log verb 6 explicit-exit-notify 0
- Habilite la autenticación del nombre de usuario y la contraseña del cliente. Para ello, añada auth-user-pass:
client
dev tun
proto tcp
remote 20.67.97.220 1194
resolv-retry infinite
nobind
;user nobody
;group nogroup
persist-key
persist-tun
;remote-cert-tls server
client-cert-not-required
username-as-common-name
;tls-auth ta.key 1
auth-user-pass
cipher AES-256-GCM
verb 6
;mute 20
-----BEGIN CERTIFICATE----- *********** -----END CERTIFICATE-----
- Reinicie el servidor de OpenVPN para aplicar los cambios.
Resultados: Se ha configurado la VPN de edición comunitaria de OpenVPN.
