Questa è una descrizione dettagliata di come configurare OpenVPN Community Edition per LastPass Universal Proxy utilizzando il protocollo LDAP al fine di impostare LastPass MFA come metodo di autenticazione secondario. I seguenti passaggi contengono le impostazioni relative a Universal Proxy.
Informazioni su questa procedura:
Nota: OpenVPN Community Edition non ha un’interfaccia utente grafica (GUI). Le impostazioni vengono effettuate utilizzando l’interfaccia della riga di comando (CLI).
Nota: poiché OpenVPN Community Edition gestisce le richieste di autenticazione in entrata in un unico thread, l’acceso è consentito a un singolo client per volta. Pertanto, è prevedibile un aumento del tempo di attesa.
- Installa sul server il plugin OpenVPN LDAP, openvpn-auth-ldap, per ottenere le librerie e i file di configurazione richiesti.
Risultato: il file di configurazione dell’autenticazione LDAP di OpenVPN, auth-ldap.conf verrà installato.
- Configura il server OpenVPN per l’autenticazione LDAP usando il file auth-dap.conf. Imposta quanto segue:
-
URL
-
L’indirizzo IP o il nome DNS di Universal Proxy.
-
BindDN
-
Il nome utente dell’amministratore configurato per l’autenticazione LDAP nel seguente formato:
CN=Admin,CN=Users,DC=domain,DC=country_code.
-
Password
-
La password dell’utente amministratore LDAP.
-
Timeout
-
61
-
TLSEnable
-
no
-
BaseDN
-
Il DN di base sotto il quale si trovano gli utenti, nel seguente formato:
cn=Users,dc=domain,dc=country_code.
-
SearchFilter
-
"(&(userPrincipalName=%u))"
-
RequireGroup
-
false
-
Group - BaseDN
-
Il DN di base sotto il quale si trovano gli utenti, nel seguente formato:
cn=Users,dc=domain,dc=country_code.
-
Group - Searchfilter
-
"(|(userPrincipalName=%u))"
-
Group – MemberAttribute
-
uniqueMember o
sAMAccountname, a seconda della configurazione di Universal Proxy.
Esempio:
URL ldap://
:389 BindDN cn=Admin,cn=Users,dc=domain,dc=country_code Password ************** Timeout 61 TLSEnable no
BaseDN "cn=Users,dc=domain,dc=country_code" SearchFilter "(&(userPrincipalName=%u))" RequireGroup false
BaseDN "cn=Users,dc=domain,dc=country_code" SearchFilter "(|(userPrincipalName=%u))" MemberAttribute uniqueMember
- Aggiungi le seguenti opzioni al file di configurazione del server OpenVPN, server.conf:
- Percorso del file di configurazione, per leggere gli attributi e utilizzarlo per autenticare gli utenti. Ad esempio:
plugin /usr/lib/openvpn/openvpn-auth-ldap.so /etc/openvpn/auth-ldap.conf login
- Applica per usare nome utente e password per l’autenticazione:
username-as-common-name
- Disattiva l’autenticazione del certificato lato client:
client-cert-not-required
Esempio:
port 1194 proto tcp dev tun ca ca.crt cert server.crt key server.key # This file should be kept secret dh dh.pem plugin /usr/lib/openvpn/openvpn-auth-ldap.so /etc/openvpn/auth-ldap.conf login server 10.8.0.0 255.255.255.0 ifconfig-pool-persist /var/log/openvpn/ipp.txt username-as-common-name keepalive 10 120 client-cert-not-required cipher AES-256-GCM user nobody group nogroup persist-key persist-tun status /var/log/openvpn/openvpn-status.log log /var/log/openvpn/openvpn.log log-append /var/log/openvpn/openvpn.log verb 6 explicit-exit-notify 0
- Abilita l’autenticazione con nome utente e password client aggiungendo auth-user-pass:
client
dev tun
proto tcp
remote 20.67.97.220 1194
resolv-retry infinite
nobind
;user nobody
;group nogroup
persist-key
persist-tun
;remote-cert-tls server
client-cert-not-required
username-as-common-name
;tls-auth ta.key 1
auth-user-pass
cipher AES-256-GCM
verb 6
;mute 20
-----BEGIN CERTIFICATE----- *********** -----END CERTIFICATE-----
- Riavvia il server OpenVPN per applicare le modifiche.
Risultati: La VPN OpenVPN Community Edition è stata configurata.
