Home
Help
Search
Login
Register
OPNsense Forum
»
International Forums
»
German - Deutsch
»
OpenVPN mit AD Anbindung, Frage zu Sicherheitsgruppen
« previous
next »
Print
Pages: [
1
]
Author
Topic: OpenVPN mit AD Anbindung, Frage zu Sicherheitsgruppen (Read 2573 times)
zickzack111
Newbie
Posts: 15
Karma: 0
OpenVPN mit AD Anbindung, Frage zu Sicherheitsgruppen
«
on:
March 31, 2020, 09:39:08 pm »
Hallo an alle hier im Forum,
ich habe einmal zum Test die OPNSense mittles LDAP in die Windows Domäne integriert. Denn ich würde gerne die AD Benutzer am OpenVPN Server authentifizieren. Das funktioniert auch soweit wie gewünscht wenn sich der entsprechende Benutzer in der OU befindet die ich bei den LDAP Einstellungen angegeben habe.
Mein Wunsch wäre allerdings das die OPNSense die Mitgliedschaft anhand einer bestimmten Sicherheitsgruppe im AD prüft, zb. SSLVPN. Bessser gesagt sollen sich nur Nutzer die in der Gruppe SSLVPN Mitglied sind, am OpenVPN Server anmelden dürfen, das habe ich bisher allerdings nicht eingerichtet bekommen, wo und was genau muss ich denn da eintragen? Ich nehme mal an das das auch bei dem LDAP Einstellungen gemacht werden muss.
Vielen Dank und Grüße
zickzack111
Logged
banym
Sr. Member
Posts: 468
Karma: 31
Free Human Being, FreeBSD, Linux and Mac nerd
Re: OpenVPN mit AD Anbindung, Frage zu Sicherheitsgruppen
«
Reply #1 on:
March 31, 2020, 11:28:34 pm »
Sollte mit einem extendet Querry wie z. B. memberOf=CN=VPN,OU=Gruppen,DC=example,DC=com möglich sein.
Das memberOf und dann die entsprechende Gruppe sollte tun was du möchtest.
Logged
Twitter: banym
Mastodon: banym@bsd.network
Blog:
https://www.banym.de
globoximato
Newbie
Posts: 2
Karma: 0
Re: OpenVPN mit AD Anbindung, Frage zu Sicherheitsgruppen
«
Reply #2 on:
April 01, 2020, 10:21:09 pm »
Das sollte funktionieren. Bei unseren letzten Tests kam aber folgendes heraus.
Beachte, dass mit dieser Syntax es nicht erkannt wird, ob ein Benutzer in der AD deaktiviert ist. Somit kann sich der Benutzer weiterhin per VPN einloggen, obwohl der AD Benutzer deaktiviert ist.
Logged
banym
Sr. Member
Posts: 468
Karma: 31
Free Human Being, FreeBSD, Linux and Mac nerd
Re: OpenVPN mit AD Anbindung, Frage zu Sicherheitsgruppen
«
Reply #3 on:
April 02, 2020, 09:24:35 am »
Mhm das wäre mir jetzt aber auch neu.
Wie habt ihr das getestet? Ich könnte mir vorstellen, dass die Credentials noch gecached werden, aber ein deaktivierter Benutzer sollte sich nicht authentifizieren dürfen.
Werde ich selbst auch nochmal testen.
Logged
Twitter: banym
Mastodon: banym@bsd.network
Blog:
https://www.banym.de
superwinni2
Hero Member
Posts: 546
Karma: 24
Netzwerk der Kindheit? - Draussen
Re: OpenVPN mit AD Anbindung, Frage zu Sicherheitsgruppen
«
Reply #4 on:
April 02, 2020, 10:46:35 am »
Also ich habe etwas ähnliches am laufen...
Der OPNsense ist es bei einer LDAP Verbindung egal, ob der Benutzer auf der FW aktiv oder inaktiv gesetzt wird. Die Authentifikation findet trotz allem auf dem Domänencontroller (oder was du auch immer hast) statt.
Wie ich es begrenze: Gruppen in der Firwall.
So darf nur die Gruppe "VPN1" sich auf den VPN Server1 verbinden.
Dies kannst du bei dem VPN Server einstellen. (Zumindest bei OpenVPN)
Ansonsten bekommt man eben ein "nicht authentifiziert". Auch wenn die Daten richtig eingegeben wurden.
Genau das gleiche mache ich ebenfalls mit einem CaptivePortal.
Logged
Proxmox VE
i3-4030U | 16 GB RAM | 512 GB SSD | 500 GB HDD
i3-2350M | 16 GB RAM | 120 GB SSD | 500 GB HDD
FW VMs:
2 Cores | 1 GB RAM | 20 GB SSD
zickzack111
Newbie
Posts: 15
Karma: 0
Re: OpenVPN mit AD Anbindung, Frage zu Sicherheitsgruppen
«
Reply #5 on:
April 02, 2020, 10:01:28 pm »
Vielen Dank für die Infos, irgendwie hatte ich einen Fehler mit dem Members Of in der Konfiguration.
Die Autentifizierung über die SSLVPN Gruppe läuft jetzt wie gewünscht.
@globoximato, bei mir ist eine Einwahl bei deaktivertem Account im AD nicht mehr möglich, sobald ich den Nutzer wieder aktiviere klappt es auch wieder mit der Einwahl.
Jetzt habe ich aber mal noch eine Zusatzfrage. Kann die OPNsense auch mehrere AD Gruppen verwalten, zb. einmal für Openvpn und eine fürs Captive Portal, wie müsste man denn sowas konfigurieren.
Vielen Dank noch mal an alle
Grüße
zickzack111
Logged
banym
Sr. Member
Posts: 468
Karma: 31
Free Human Being, FreeBSD, Linux and Mac nerd
Re: OpenVPN mit AD Anbindung, Frage zu Sicherheitsgruppen
«
Reply #6 on:
April 03, 2020, 09:09:02 am »
Kannst du einfach mehrere LDAP Server Konfigurieren jeweils mit der entsprechenden Gruppe und diese dann im jeweiligen Dienst (OpenVPN oder CaptivePortal) auswählen?
Logged
Twitter: banym
Mastodon: banym@bsd.network
Blog:
https://www.banym.de
Print
Pages: [
1
]
« previous
next »
OPNsense Forum
»
International Forums
»
German - Deutsch
»
OpenVPN mit AD Anbindung, Frage zu Sicherheitsgruppen