Dit is een stapsgewijze beschrijving van het configureren van OpenVPN Community Edition voor LastPass Universal Proxy met het LDAP-protocol, om LastPass MFA in te stellen als secundaire verificatiemethode. De volgende stappen bevatten de instellingen die betrekking hebben op de Universal Proxy.
Info over deze taak:
Let op: OpenVPN Community Edition heeft geen grafische gebruikersinterface (GUI). De instellingen worden uitgevoerd met de opdrachtregelinterface (CLI).
Let op: Aangezien OpenVPN Community Edition de inkomende verificatie-verzoeken in één enkele thread verwerkt, kan één client zich tegelijk aanmelden. Daarom kan een langere wachttijd te verwachten zijn.
- Installeer de OpenVPN LDAP-plugin openvpn-auth-ldap, op uw server om de vereiste bibliotheken en configuratiebestanden te krijgen.
Resultaat: Het verificatie-configuratiebestand voor OpenVPN LDAP, auth-ldap.conf wordt geïnstalleerd.
- Configureer de OpenVPN-server voor LDAP-verificatie met behulp van het auth-ldap.conf bestand. Stel het volgende in:
-
URL
-
Het IP-adres of de DNS-naam van de Universal Proxy
-
BindDN
-
De gebruikersnaam voor de beheerder geconfigureerd voor LDAP-verificatie in de volgende indeling:
CN=Admin, CN=Gebruikers, DC=domain, DC=country_code.
-
Wachtwoord
-
Het wachtwoord van de LDAP-beheerder.
-
Time-out
-
61
-
TLSEnable
-
no
-
BaseDN
-
De Base-DN waaronder de gebruikers zich bevinden, in de volgende indeling:
cn=Gebruikers, dc=domein, dc=land_code.
-
SearchFilter
-
"(&(userPrincipalName=%u))"
-
RequireGroup
-
false
-
Group - BaseDN
-
De Base-DN waaronder de gebruikers zich bevinden, in de volgende indeling:
cn=Gebruikers, dc=domein, dc=land_code.
-
Group - Searchfilter
-
"(|(userPrincipalName=%u))"
-
Group – MemberAttribute
-
uniqueMember or
sAMAccountname, afhankelijk van de Universal Proxy configuratie.
Voorbeeld:
URL ldap://
:389 BindDN cn=Admin,cn=Users,dc=domain,dc=country_code Password ************** Timeout 61 TLSEnable no
BaseDN "cn=Users,dc=domain,dc=country_code" SearchFilter "(&(userPrincipalName=%u))" RequireGroup false
BaseDN "cn=Users,dc=domain,dc=country_code" SearchFilter "(|(userPrincipalName=%u))" MemberAttribute uniqueMember
- Voeg de volgende opties toe aan het configuratiebestand voor OpenVPN-server server.conf:
- Pad naar het configuratiebestand, om de kenmerken te lezen en deze te gebruiken om gebruikers te verifiëren. Bijvoorbeeld:
plugin /usr/lib/openvpn/openvpn-auth-ldap.so /etc/openvpn/auth-ldap.conf login
- Afdwingen om gebruikersnaam en wachtwoord te gebruiken voor verificatie:
username-as-common-name
- De certificaat-verificatie aan de client-zijde uitschakelen:
client-cert-not-required
Voorbeeld:
port 1194 proto tcp dev tun ca ca.crt cert server.crt key server.key # This file should be kept secret dh dh.pem plugin /usr/lib/openvpn/openvpn-auth-ldap.so /etc/openvpn/auth-ldap.conf login server 10.8.0.0 255.255.255.0 ifconfig-pool-persist /var/log/openvpn/ipp.txt username-as-common-name keepalive 10 120 client-cert-not-required cipher AES-256-GCM user nobody group nogroup persist-key persist-tun status /var/log/openvpn/openvpn-status.log log /var/log/openvpn/openvpn.log log-append /var/log/openvpn/openvpn.log verb 6 explicit-exit-notify 0
- Schakel verificatie met gebruikersnamen en wachtwoorden in door auth-user-pass toe te voegen:
client
dev tun
proto tcp
remote 20.67.97.220 1194
resolv-retry infinite
nobind
;user nobody
;group nogroup
persist-key
persist-tun
;remote-cert-tls server
client-cert-not-required
username-as-common-name
;tls-auth ta.key 1
auth-user-pass
cipher AES-256-GCM
verb 6
;mute 20
-----BEGIN CERTIFICATE----- *********** -----END CERTIFICATE-----
- Start de OpenVPN-server opnieuw om de wijzigingen toe te passen.
Resultaten: De OpenVPN Community Edition VPN is geconfigureerd.
