Questa è una descrizione dettagliata di come configurare la VPN OpenVPN Community Edition per LastPass Universal Proxy utilizzando il protocollo RADIUS al fine di impostare LastPass MFA come metodo di autenticazione secondario. I seguenti passaggi contengono le impostazioni relative a Universal Proxy.

Informazioni su questa procedura:

Nota: OpenVPN Community Edition non ha un’interfaccia utente grafica (GUI). Le impostazioni vengono effettuate utilizzando l’interfaccia della riga di comando (CLI).

Nota: poiché OpenVPN Community Edition gestisce le richieste di autenticazione in entrata in un unico thread, l’acceso è consentito a un singolo client per volta. Pertanto, è prevedibile un aumento del tempo di attesa.

1. Installa sul server il plugin OpenVPN RADIUS, openvpn-auth-radius, per ottenere le librerie e i file di configurazione richiesti.

   Risultato: il file di configurazione dell’autenticazione OpenVPN RADIUS, radiusplugin.cnf verrà installato.

2. Configura il server OpenVPN per l’autenticazione RADIUS usando il file radiusplugin.cnf. Imposta quanto segue:

   NAS-Identifier

   OpenVPN

   Service-Type

   5

   Framed-Protocol

   1

   NAS-Port-Type

   5

   NAS-IP-Address

   Indirizzo IP di OpenVPN Community Edition.

   OpenVPNConfig

   Percorso del file di configurazione di OpenVPN.

   overwriteccfiles

   true

   acctport

   1813

   authport

   1812

   name

   Indirizzo IP o nome DNS di Universal Proxy.

   retry

   1

   wait

   61

   sharedsecret

   Segreto condiviso RADIUS, che è configurato su LastPass Universal Proxy.

   Esempio:

   NAS-Identifier=OpenVpn Service-Type=5 Framed-Protocol=1 NAS-Port-Type=5 NAS-IP-Address=
                
                  OpenVPNConfig=/etc/openvpn/server/server.conf overwriteccfiles=true server { acctport=1813 authport=1812 name=
                 
                   retry=1 # How long should the plugin wait for a response? wait=61 sharedsecret=********* }
                 
                

3. Aggiungi quanto segue al file di configurazione del server OpenVPN, server.conf:
   1. Percorso del file di configurazione, per leggere gli attributi e utilizzarlo per autenticare gli utenti. Ad esempio:

      plugin /usr/lib/openvpn/openvpn-radius-ldap.so /etc/openvpn/radiusplugin.cnf login

   2. Applica per usare nome utente e password per l’autenticazione:

      username-as-common-name

   3. Disattiva l’autenticazione del certificato lato client:

      client-cert-not-required

   Esempio:

   port 1194 proto tcp dev tun ca ca.crt cert server.crt key server.key # This file should be kept secret dh dh.pem plugin /usr/lib/openvpn/openvpn-auth-radius.so /etc/openvpn/radiusplugin.cnf login server 10.8.0.0 255.255.255.0 ifconfig-pool-persist /var/log/openvpn/ipp.txt username-as-common-name keepalive 10 120 client-cert-not-required cipher AES-256-GCM user nobody group nogroup persist-key persist-tun status /var/log/openvpn/openvpn-status.log log /var/log/openvpn/openvpn.log log-append /var/log/openvpn/openvpn.log verb 6 explicit-exit-notify 0

4. Abilita l’autenticazione con nome utente e password client aggiungendo auth-user-pass:

   client
   dev tun
   proto tcp
   remote 20.67.97.220 1194
   resolv-retry infinite
   nobind
   ;user nobody
   ;group nogroup
   persist-key
   persist-tun
   ;remote-cert-tls server
   client-cert-not-required
   username-as-common-name
   ;tls-auth ta.key 1
   auth-user-pass
   cipher AES-256-GCM
   verb 6
   ;mute 20
   
               
                 -----BEGIN CERTIFICATE----- *********** -----END CERTIFICATE----- 
               

5. Riavvia il server OpenVPN per applicare le modifiche.