Author Topic: [RESUELTO]autenticación openvpn contra active directory (wind serv 2008)  (Read 4889 times)

juaniki

  • Zen Apprentice
  • *
  • Posts: 25
  • Karma: +0/-0
    • View Profile
Hola chicos

desde hace tiempo uso zentyal como servidor vpn. la verdad que funciona muy bien y a las maravillas, pero me gustaría añadirle aún más seguridad (bueno también viene impuesto desde arriba...)

el caso es que tenemos controladores de dominio y active directory en w. server 2008 r2 y me gustaría que cuando se haga la conexión desde openvpn, se validen, además de certificado, las credenciales de usuario de AD

Alguien lo ha hecho?

¿cómo se debería hacer esto?

gracias de antemano
« Last Edit: August 27, 2014, 10:17:58 am by juaniki »

jbahillo

  • Zentyal Staff
  • Zen Hero
  • *****
  • Posts: 1444
  • Karma: +77/-2
    • View Profile
Re: autenticación openvpn contra active directory (wind serv 2008)
« Reply #1 on: August 20, 2014, 04:11:55 pm »
Hola:

Tienes un modulo de openvpn que permite la validación contra un LDAP, ahora bien deberás crear un stub para poder añadir las claves de configuración implicadas.

Tienes más información aqui:

https://code.google.com/p/openvpn-auth-ldap/wiki/Configuration

juaniki

  • Zen Apprentice
  • *
  • Posts: 25
  • Karma: +0/-0
    • View Profile
Re: autenticación openvpn contra active directory (wind serv 2008)
« Reply #2 on: August 20, 2014, 04:23:43 pm »
gracias por tu respuesta

no te he entendido con eso del stab y añadir las claves

podrías , por favor, explicármelo??

gracias

jbahillo

  • Zentyal Staff
  • Zen Hero
  • *****
  • Posts: 1444
  • Karma: +77/-2
    • View Profile
Re: autenticación openvpn contra active directory (wind serv 2008)
« Reply #3 on: August 20, 2014, 04:25:34 pm »
Hola: Te aconsejo leer la documentacion oficial al respecto:

https://wiki.zentyal.org/wiki/Es/3.5/Desarrollo_y_usos_avanzados#Stubs


Un saludo

juaniki

  • Zen Apprentice
  • *
  • Posts: 25
  • Karma: +0/-0
    • View Profile
Re: autenticación openvpn contra active directory (wind serv 2008)
« Reply #4 on: August 20, 2014, 05:52:03 pm »
ok gracias...

no me había dado cuenta de qué era los stub, pero ya lo había utilizado para openvpn ;)
voy a echarle un vistazo a eso que comentas de la autenticación

juaniki

  • Zen Apprentice
  • *
  • Posts: 25
  • Karma: +0/-0
    • View Profile
Re: autenticación openvpn contra active directory (wind serv 2008)
« Reply #5 on: August 21, 2014, 11:02:14 am »
dónde se guardan los certificados de openvpn??

necesito para  configurar esta parte...
# TLS CA Certificate File
TLSCACertFile /usr/local/etc/ssl/ca.pem

# TLS CA Certificate Directory
TLSCACertDir /etc/ssl/certs

# Client Certificate and key
# If TLS client authentication is required
TLSCertFile /usr/local/etc/ssl/client-cert.pem
TLSKeyFile /usr/local/etc/ssl/client-key.pem

gracias de antemano

jbahillo

  • Zentyal Staff
  • Zen Hero
  • *****
  • Posts: 1444
  • Karma: +77/-2
    • View Profile
Re: autenticación openvpn contra active directory (wind serv 2008)
« Reply #6 on: August 21, 2014, 12:49:30 pm »
Hola:
De memoria no lo recuerdo pero sospecho que habra dos posibilidades:

1) se copian al directorio de openvpn (/etc/openvpn/)
2) se leen directamnete de /var/lib/zentyal/CA


En cualquier caso eso ya deberia estar generado en la configuración estandar

juaniki

  • Zen Apprentice
  • *
  • Posts: 25
  • Karma: +0/-0
    • View Profile
Re: autenticación openvpn contra active directory (wind serv 2008)
« Reply #7 on: August 21, 2014, 04:12:22 pm »
gracias

y donde tengo que poner la línea de plugin siguiente??
#plugin /usr/lib/openvpn/plugin/lib/openvpn-auth-ldap.so “/etc/openvpn/auth/lda$

esto es para que openvpn la acepte el plugin
si lo añado al fichero /usr/share/zentyal/stubs/openvpn/openvpn.conf.mas     openvpn no arranca quedando en estado "detenido"

gracias
 

jbahillo

  • Zentyal Staff
  • Zen Hero
  • *****
  • Posts: 1444
  • Karma: +77/-2
    • View Profile
Re: autenticación openvpn contra active directory (wind serv 2008)
« Reply #8 on: August 21, 2014, 04:14:44 pm »
Hola:

2 cosas:

1) nunca edites los stubs directamente, en su lugar crea el directorio /etc/zentyal/stubs/<modulo> y copia ahi el stub a personalizar y edita ahi ese fichero

2) Me huelo algun tema de permisos respecto a ese plugin, has revisado los logs de openvpn en /var/log/openvpn, o has probado a iniciar openvpn en modo no daemon (en foreground)?

juaniki

  • Zen Apprentice
  • *
  • Posts: 25
  • Karma: +0/-0
    • View Profile
Re: autenticación openvpn contra active directory (wind serv 2008)
« Reply #9 on: August 22, 2014, 11:01:16 am »
gracias por tus consejos

ya lo tengo todo montado, cuando intento hacer login con un usario de un grupo determinado me falla, dándome el siguiente error

AUTH-PAM: BACKGROUND: user 'rodrigj' failed to authenticate: Authentication fail                                                                                                                     ure
Fri Aug 22 10:22:23 2014 10.30.113.2:47304 PLUGIN_CALL: POST /usr/lib/openvpn/op                                                                                                                     envpn-plugin-auth-pam.so/PLUGIN_AUTH_USER_PASS_VERIFY status=1
Fri Aug 22 10:22:23 2014 10.30.113.xx:47304 PLUGIN_CALL: plugin function PLUGIN_A                                                                                                                     UTH_USER_PASS_VERIFY failed with status 1: /usr/lib/openvpn/openvpn-plugin-auth-                                                                                                                     pam.so
Fri Aug 22 10:22:23 2014 10.30.113.2:47304 TLS Auth Error: Auth Username/Passwor                                                                                                                     d verification failed for peer


ldap.conf


root@gstzentyal:/var/lib/zentyal/CA/certs# cat /etc/openvpn/auth/ldap.conf
<LDAP>
        # LDAP server URL
        URL             ldap://miip

        # Bind DN (If your LDAP server doesn't support anonymous binds)
        # BindDN                uid=Manager,ou=People,dc=example,dc=com

        # Bind Password
        # Password      SecretPassword

        # Network timeout (in seconds)
        Timeout         15

        # Enable Start TLS
        #TLSEnable       yes
         TLSEnable       no

        # Follow LDAP Referrals (anonymously)
        FollowReferrals yes

        # TLS CA Certificate File
        #TLSCACertFile   /usr/local/etc/ssl/ca.pem

        TLSCACertFile   /var/lib/zentyal/CA/certs/07CEASDDBD98.pem



        # TLS CA Certificate Directory
        TLSCACertDir    /var/lib/zentyal/CA/certs/


        # Client Certificate and key
        # If TLS client authentication is required
#        TLSKeyFile    /var/lib/zentyal/CA/keys/Juan.pem

#       TLSCertFile   /var/lib/zentyal/CA/keys/07CE9398A73E3B8E.pem

        # Cipher Suite
        # The defaults are usually fine here
        # TLSCipherSuite        ALL:!ADH:@STRENGTH
</LDAP>

<Authorization>
        # Base DN
        BaseDN          "OU=Users,OU=Accounts,OU=COMPANY,DC=gst,DC=local"

        # User Search Filter
        #SearchFilter    "(&(uid=%u)(accountStatus=active))"
        SearchFilter    "sAMAccountName=%u"
        # Require Group Membership
        RequireGroup    yes

        # Add non-group members to a PF table (disabled)
        #PFTable        ips_vpn_users

        <Group>

                BaseDN           "OU=Users,OU=Accounts,OU=COMPANY,DC=gst,DC=local"

                #BaseDN          "ou=Groups,dc=example,dc=com"
                #SearchFilter    "(|(cn=developers)(cn=artists))"
                MemberAttribute uniqueMember
                # Add group members to a PF table (disabled)
                #PFTable        ips_vpn_eng
        </Group>
</Authorization>




cuando uso el adm del dominio si me conecta correctamente

los dn son los correctos


jbahillo

  • Zentyal Staff
  • Zen Hero
  • *****
  • Posts: 1444
  • Karma: +77/-2
    • View Profile
Re: autenticación openvpn contra active directory (wind serv 2008)
« Reply #10 on: August 22, 2014, 11:03:09 am »
Sospecho que es pq no has definido  un BIND DN and PW (Zentyal hasta donde se no soporta bind anonimo al LDAP /Samba)


        # Bind DN (If your LDAP server doesn't support anonymous binds)
        # BindDN                uid=Manager,ou=People,dc=example,dc=com

        # Bind Password
        # Password      SecretPassword

juaniki

  • Zen Apprentice
  • *
  • Posts: 25
  • Karma: +0/-0
    • View Profile
Re: autenticación openvpn contra active directory (wind serv 2008)
« Reply #11 on: August 22, 2014, 11:17:57 am »
voy a probar a ver....

juaniki

  • Zen Apprentice
  • *
  • Posts: 25
  • Karma: +0/-0
    • View Profile
Re: autenticación openvpn contra active directory (wind serv 2008)
« Reply #12 on: August 22, 2014, 11:25:52 am »
nada...igual

con el usario adminsitrador

iFri Aug 22 11:21:12 2014 10.30.113.2:36905 PLUGIN_CALL: POST /usr/lib/openvpn/openvpn-plugin-auth-pam.so/PLUGIN_AUTH_USER_PASS_VERIFY status=0
Fri Aug 22 11:21:12 2014 10.30.113.2:36905 TLS: Username/Password authentication succeeded for username 'administrador'


gracias por tu ayuda

juaniki

  • Zen Apprentice
  • *
  • Posts: 25
  • Karma: +0/-0
    • View Profile
Re: autenticación openvpn contra active directory (wind serv 2008)
« Reply #13 on: August 22, 2014, 01:27:27 pm »
me acabo de dar cuenta que me está validando con los usuarios locales de zentyal en lugar de los usuarios del active directory

juaniki

  • Zen Apprentice
  • *
  • Posts: 25
  • Karma: +0/-0
    • View Profile
Re: autenticación openvpn contra active directory (wind serv 2008)
« Reply #14 on: August 25, 2014, 11:19:21 am »
sigo atrancado por aquí...

me está validando contra los usuarios del S.O en lugar del A.D