product icon

Configuration du VPN OpenVPN Community pour le protocole RADIUS de LastPass Universal Proxy

    Voici une description détaillée de la configuration d’OpenVPN Community pour LastPass Universal Proxy utilisant le protocole RADIUS pour configurer LastPass MFA comme méthode d’authentification secondaire. Les étapes suivantes contiennent les paramètres associés d’Universal Proxy.

    À propos de cette tâche :
    Remarque : OpenVPN Community n’a pas d’Interface utilisateur graphique (GUI). Les réglages sont effectués avec l’Interface de ligne de commande (ILC).
    Remarque : Comme OpenVPN Community traite les requêtes d’authentification entrantes dans un même fil, un seul client peut se connecter à la fois. Par conséquent, le temps d’attente peut être plus long.
    1. Installez le plug-in RADIUS pour OpenVPN, openvpn-auth-radius, sur votre serveur pour obtenir les bibliothèques et les fichiers de configuration requis.

      Résultat : Le fichier de configuration d’authentification RADIUS d’OpenVPN, radiusplugin.cnf sera installé.

    2. Configurez le serveur OpenVPN pour l’authentification RADIUS à l’aide du fichier radiusplugin.cnf. Définissez les éléments suivants :

      NAS-Identifier
      OpenVPN
      Service-Type
      5
      Framed-Protocol
      1
      NAS-Port-Type
      5
      NAS-IP-Address
      Adresse IP de l’application OpenVPN Community.
      OpenVPNConfig
      Chemin vers le fichier de configuration d’OpenVPN.
      overwriteccfiles
      true
      acctport
      1813
      authport
      1812
      name
      Adresse IP ou nom DNS d’Universal Proxy.
      retry
      1
      wait
      61
      sharedsecret
      Secret partagé de RADIUS, configuré sur LastPass Universal Proxy.

      Exemple :

      NAS-Identifier=OpenVpn Service-Type=5 Framed-Protocol=1 NAS-Port-Type=5 NAS-IP-Address=
             
               OpenVPNConfig=/etc/openvpn/server/server.conf overwriteccfiles=true server { acctport=1813 authport=1812 name=
              
                retry=1 # How long should the plugin wait for a response? wait=61 sharedsecret=********* }

    3. Ajoutez les éléments suivants au fichier de configuration server.conf du serveur OpenVPN :
      1. Chemin du fichier de configuration, afin de lire les attributs et de l’utiliser pour authentifier les utilisateurs. Par exemple : 

        plugin /usr/lib/openvpn/openvpn-radius-ldap.so /etc/openvpn/radiusplugin.cnf login

      2. Forcer l’utilisation du nom d’utilisateur et du mot de passe pour l’authentification : 

        username-as-common-name

      3. Désactiver l’authentification du certificat côté client : 

        client-cert-not-required

      Exemple :

      port 1194 proto tcp dev tun ca ca.crt cert server.crt key server.key # This file should be kept secret dh dh.pem plugin /usr/lib/openvpn/openvpn-auth-radius.so /etc/openvpn/radiusplugin.cnf login server 10.8.0.0 255.255.255.0 ifconfig-pool-persist /var/log/openvpn/ipp.txt username-as-common-name keepalive 10 120 client-cert-not-required cipher AES-256-GCM user nobody group nogroup persist-key persist-tun status /var/log/openvpn/openvpn-status.log log /var/log/openvpn/openvpn.log log-append /var/log/openvpn/openvpn.log verb 6 explicit-exit-notify 0

    4. Activez l’authentification par nom d’utilisateur et mot de passe client, en ajoutant auth-user-pass: 

      client
dev tun
proto tcp
remote 20.67.97.220 1194
resolv-retry infinite
nobind
;user nobody
;group nogroup
persist-key
persist-tun
;remote-cert-tls server
client-cert-not-required
username-as-common-name
;tls-auth ta.key 1
auth-user-pass
cipher AES-256-GCM
verb 6
;mute 20

            
              -----BEGIN CERTIFICATE----- *********** -----END CERTIFICATE-----

    5. Redémarrez le serveur OpenVPN pour appliquer les modifications.
    Résultat: Le VPN OpenVPN Community a été configuré.
    Articles connexes