OpenVPN mit AD Anbindung, Frage zu Sicherheitsgruppen

[zickzack111]

Hallo an alle hier im Forum,

ich habe einmal zum Test die OPNSense mittles LDAP in die Windows Domäne integriert. Denn ich würde gerne die AD Benutzer am OpenVPN Server authentifizieren. Das funktioniert auch soweit wie gewünscht wenn sich der entsprechende Benutzer in der OU befindet die ich bei den LDAP Einstellungen angegeben habe.

Mein Wunsch wäre allerdings das die OPNSense die Mitgliedschaft anhand einer bestimmten Sicherheitsgruppe im AD prüft, zb. SSLVPN. Bessser gesagt sollen sich nur Nutzer die in der Gruppe SSLVPN Mitglied sind, am OpenVPN Server anmelden dürfen, das habe ich bisher allerdings nicht eingerichtet bekommen, wo und was genau muss ich denn da eintragen? Ich nehme mal an das das auch bei dem LDAP Einstellungen gemacht werden muss.

Vielen Dank und Grüße

zickzack111

[banym]

Sollte mit einem extendet Querry wie z. B. memberOf=CN=VPN,OU=Gruppen,DC=example,DC=com möglich sein.

Das memberOf und dann die entsprechende Gruppe sollte tun was du möchtest.

[globoximato]

Das sollte funktionieren. Bei unseren letzten Tests kam aber folgendes heraus.

Beachte, dass mit dieser Syntax es nicht erkannt wird, ob ein Benutzer in der AD deaktiviert ist. Somit kann sich der Benutzer weiterhin per VPN einloggen, obwohl der AD Benutzer deaktiviert ist.

[banym]

Mhm das wäre mir jetzt aber auch neu.

Wie habt ihr das getestet? Ich könnte mir vorstellen, dass die Credentials noch gecached werden, aber ein deaktivierter Benutzer sollte sich nicht authentifizieren dürfen.

Werde ich selbst auch nochmal testen.

[superwinni2]

Also ich habe etwas ähnliches am laufen...
Der OPNsense ist es bei einer LDAP Verbindung egal, ob der Benutzer auf der FW aktiv oder inaktiv gesetzt wird. Die Authentifikation findet trotz allem auf dem Domänencontroller (oder was du auch immer hast) statt.


Wie ich es begrenze: Gruppen in der Firwall.
So darf nur die Gruppe "VPN1" sich auf den VPN Server1 verbinden.
Dies kannst du bei dem VPN Server einstellen. (Zumindest bei OpenVPN)
Ansonsten bekommt man eben ein "nicht authentifiziert". Auch wenn die Daten richtig eingegeben wurden.




Genau das gleiche mache ich ebenfalls mit einem CaptivePortal.

[zickzack111]

Vielen Dank für die Infos, irgendwie hatte ich einen Fehler mit dem Members Of in der Konfiguration.

Die Autentifizierung über die SSLVPN Gruppe läuft jetzt wie gewünscht.

@globoximato, bei mir ist eine Einwahl bei deaktivertem Account im AD nicht mehr möglich, sobald ich den Nutzer wieder aktiviere klappt es auch wieder mit der Einwahl.

Jetzt habe ich aber mal noch eine Zusatzfrage. Kann die OPNsense auch mehrere AD Gruppen verwalten, zb. einmal für Openvpn und eine fürs Captive Portal, wie müsste man denn sowas konfigurieren.

Vielen Dank noch mal an alle

Grüße
zickzack111

[banym]

Kannst du einfach mehrere LDAP Server Konfigurieren jeweils mit der entsprechenden Gruppe und diese dann im jeweiligen Dienst (OpenVPN oder CaptivePortal) auswählen?