Voici une description détaillée de la configuration d’OpenVPN Community pour LastPass Universal Proxy utilisant le protocole LDAP pour configurer LastPass MFA comme méthode d’authentification secondaire. Les étapes suivantes contiennent les paramètres associés d’Universal Proxy.
À propos de cette tâche :
Remarque : OpenVPN Community n’a pas d’Interface utilisateur graphique (GUI). Les réglages sont effectués avec l’Interface de ligne de commande (ILC).
Remarque : Comme OpenVPN Community traite les requêtes d’authentification entrantes dans un même fil, un seul client peut se connecter à la fois. Par conséquent, le temps d’attente peut être plus long.
- Installez le plug-in LDAP pour OpenVPN, openvpn-auth-ldap, sur votre serveur pour obtenir les bibliothèques et les fichiers de configuration requis.
Résultat : Le fichier de configuration d’authentification LDAP d’OpenVPN, auth-ldap.conf sera installé.
- Configurez le serveur OpenVPN pour l’authentification LDAP à l’aide du fichier auth-ldap.conf. Définissez les éléments suivants :
-
URL
-
L’adresse IP ou le nom DNS d’Universal Proxy.
-
BindDN
-
Le nom d’utilisateur d’administrateur configuré pour l’authentification LDAP au format suivant :
CN=Admin,CN=Users,DC=domain,DC=country_code.
-
Password (Mot de passe)
-
Le mot de passe utilisateur admin LDAP.
-
Timeout (Délai d’attente)
-
61
-
TLSEnable
-
no
-
BaseDN
-
Le DN de Base sous lequel les utilisateurs se trouvent, au format suivant :
cn=Users,dc=domain,dc=country_code.
-
SearchFilter
-
"(&(userPrincipalName=%u))"
-
RequireGroup
-
false
-
Groupe-BaseDN
-
Le DN de Base sous lequel les utilisateurs se trouvent, au format suivant :
cn=Users,dc=domain,dc=country_code.
-
Group - Searchfilter
-
"(|(userPrincipalName=%u))"
-
Group – MemberAttribute
-
uniqueMember or
sAMAccountname, en fonction de la configuration d’Universal Proxy.
Exemple :
URL ldap://
:389 BindDN cn=Admin,cn=Users,dc=domain,dc=country_code Password ************** Timeout 61 TLSEnable no
BaseDN "cn=Users,dc=domain,dc=country_code" SearchFilter "(&(userPrincipalName=%u))" RequireGroup false
BaseDN "cn=Users,dc=domain,dc=country_code" SearchFilter "(|(userPrincipalName=%u))" MemberAttribute uniqueMember
- Ajoutez les options suivantes au fichier de configuration server.fichier du serveur OpenVPN :
- Chemin du fichier de configuration, afin de lire les attributs et de l’utiliser pour authentifier les utilisateurs. Par exemple :
plugin /usr/lib/openvpn/openvpn-auth-ldap.so /etc/openvpn/auth-ldap.conf login
- Forcer l’utilisation du nom d’utilisateur et du mot de passe pour l’authentification :
username-as-common-name
- Désactiver l’authentification du certificat côté client :
client-cert-not-required
Exemple :
port 1194 proto tcp dev tun ca ca.crt cert server.crt key server.key # This file should be kept secret dh dh.pem plugin /usr/lib/openvpn/openvpn-auth-ldap.so /etc/openvpn/auth-ldap.conf login server 10.8.0.0 255.255.255.0 ifconfig-pool-persist /var/log/openvpn/ipp.txt username-as-common-name keepalive 10 120 client-cert-not-required cipher AES-256-GCM user nobody group nogroup persist-key persist-tun status /var/log/openvpn/openvpn-status.log log /var/log/openvpn/openvpn.log log-append /var/log/openvpn/openvpn.log verb 6 explicit-exit-notify 0
- Activez l’authentification par nom d’utilisateur et mot de passe client, en ajoutant auth-user-pass:
client
dev tun
proto tcp
remote 20.67.97.220 1194
resolv-retry infinite
nobind
;user nobody
;group nogroup
persist-key
persist-tun
;remote-cert-tls server
client-cert-not-required
username-as-common-name
;tls-auth ta.key 1
auth-user-pass
cipher AES-256-GCM
verb 6
;mute 20
-----BEGIN CERTIFICATE----- *********** -----END CERTIFICATE-----
- Redémarrez le serveur OpenVPN pour appliquer les modifications.
Résultat: Le VPN OpenVPN Community a été configuré.
