Objectif : Le client est toujours connecté au réseau local de l’entreprise, mais pour faciliter la gestion des utilisateurs, les données d’authentification proviennent du numéro TEXT
Selon la bibliothèque.
Paramètres de base du serveur OpenVPN : La méthode de connexion est routée, et la méthode d’authentification est l’authentification TEXT/POP3
L’appareil proposé utilise tun
1. Télécharger le script d’authentification TEXT checkpsw.sh et le copier dans le répertoire /usr/local/etc/ et chmod u+x.
http://openvpn.se/files/other/
Note : 1. S’il y a un problème pour sauvegarder le script sous Windows puis le téléverser sous Linux, il vaut mieux en créer un nouveau avec le même nom dans ce répertoire
Le fichier est ensuite collé depuis la console.
2. Le script ne commence pas par # ! Il faut corriger cela.
2. Configurez le fichier de configuration du serveur, sur la base de (1).
Ajoutez les lignes suivantes :
# méthode cmd auth-user-pass-verify : Requête du client pour le nom d’utilisateur/mot de passe et
# exécute scrip{filter}t cmd pour vérifier. Si méthod='via-env', passe
# utilisateur/pass via environnement, if method='via-file', pass
# utilisateur/pass via fichier temporaire.
auth-user-pass-verify /usr/local/etcfile :///C :\Users\lenovo\AppData\Local\Temp\)QN1UH78VKP2T7)IA]ZM(FW.gifeckpsw.sh via-env
#不请求客户的CA证书, utilisez l’authentification User/Pass
client-cert-non-required
#使用客户提供的UserName作为Common Nom
Nomd’utilisateur-comme-nom-commun
3. Configurez le profil client
Commentaire désactivé
; cert client1.crt
; clé client1.key
Augmentation
#询问用户名和密码
auth-user-pass
4. Changer la variable PASSFILE dans le checkpsw.sh en .
PASSFILE="/usr/local/etc/psw-file »
5. Créer un fichier /usr/local/etc/psw-file avec le contenu suivant :
Format : Mot de passe dans l’onglet Nom d’utilisateur
User1 pass
User2 pass
Note : Après le succès de l’expérience, je l’ai réécrit avec du perl après checkpsw.sh (checkpsw.pl dans le répertoire
Oui.
6. Selon le même principe, nous pouvons aussi utiliser l’authentification POP3 (^_^ d’autres sont bien sûr également disponibles)
Voir popauth.pl dans la table des matières pour les scripts
(5) Configurer le mode de routage du serveur OpenVPN + authentification par mot de passe + RADIUS
Environnement réseau : Ajouter un serveur win2003 avec une adresse IP 192.168.80.130 sur la base de (1).
^_^ Désolé, j’ai mis le serveur sur le réseau public. Mais heureusement, c’était un test.
Objectif : Le client est toujours connecté au réseau local de l’entreprise, mais pour faciliter la gestion des utilisateurs, les données d’authentification proviennent du numéro de rayon
Selon la bibliothèque.
Paramètres de base du serveur OpenVPN : la méthode de connexion est routée, la méthode d’authentification est l’authentification par rayon, et l’appareil virtuel est utilisé
Utilisez tun
1. Installer un serveur Radius
Voir Annexe Building IAS Services sous win2003
2. Configurer le radiusplugin
1.radiusplugin_v2.0.tar.gz : radiusplugin.so peuvent être compilés
Rendez-vous sur http://www.nongnu.org/radiusplugin/ pour télécharger
2. bibliothèque de support libgcrypt : Vous pouvez compiler /usr[img]file :///C :\Users\lenovo\AppData\Local\Temp\)A[Y)I~](ZC9Z[3Y)IDK7LK.gif[/img]b[img]file :///C :\Users\lenovo\AppData\Local\Temp\)A[Y)I~]( ZC9Z[3Y)IDK7LK.gif[/img]bgcrypt.so.11
Téléchargez-le sur ftp://ftp.gnupg.org/gcrypt/libgcrypt/libgcrypt-1.2.4.tar.gz
3. bibliothèque de support libgpg-error : /usr/local[img]file :///C :\Users\lenovo\AppData\Local\Temp\)A[Y)I~](ZC9Z[3Y)IDK7LK.gif[/img]b[img]file :///C :\Users\lenovo\AppData\Local\Temp\)A [Y) I~](ZC9Z[3Y)IDK7LK.gif[/img]bgpg-error.so.0
Téléchargez-le pour ftp://ftp.gnupg.org/gcrypt/libgpg-error/libgpg-error-1.5.tar.gz
Il suffit de compiler les 3 bibliothèques prises en charge ci-dessus, de configurer ; faire ; Make install。
Nous allons utiliser radiusplugin.so, et le reste est la bibliothèque de support de radiusplugin.so.
Eh bien, si vous pouvez obtenir radiusplugin.so, vous avez réussi à 80 %, et le reste dépend de la configuration.
Copiez radiusplugin.so dans /usr/local/etc[img]file :///C :\Users\lenovo\AppData\Local\Temp\)A[Y)I~](ZC9Z[3Y)IDK7LK.gif[/img]b et configurez son fichier de configuration radiusplugin.conf
Le contenu est le suivant :
# L’identifiant NAS envoyé au serveur RADIUS
NAS-Identifier=OpenVpn
# Le type de service envoyé au serveur RADIUS
Type de service=5
# Le protocole encadré qui est envoyé au serveur RADIUS
Protocole encadré=1
# Le type de port NAS envoyé au serveur RADIUS
NAS-Port-Type=5
# C’est l’IP qui fait tourner le serveur OpenVPN, qui agit comme un client Radius
NAS-IP-Address=192.168.80.129
#这里指明 Emplacement de configuration d’OpenVPN
OpenVPNConfig=/usr/local/etcfile :///C :\Users\lenovo\AppData\Local\Temp\V7(XMWRN]{G8~CI}BCCR3QC.gifrver.conf
# Ici définissez que plus d’un paramètre de serveur de rayon peut être utilisé comme sauvegarde
serveur
{
# Le port UDP pour la comptabilité de rayon.
Acctport=1813
# Le port UDP pour l’authentification du rayon.
authport=1812
# Voici l’IP de mon serveur Radius, et l’utilisateur est ajouté.
nom=192.168.80.130
# Combien de fois le plugin doit-il envoyer s’il n’y a pas de réponse ?
réessayé=1
# Combien de temps le plugin doit-il attendre une réponse ?
attends=1
# Le secret partagé. Configurez la clé partagée dans winradius et définissez la clé -system-NAS
sharedsecret=123456
}
3. Configurez le fichier de configuration du serveur, sur la base de (1).
Ajoutez les lignes suivantes :
#说明使用的插件
plugin /usr/local/etc[img]file :///C :\Users\lenovo\AppData\Local\Temp\)A[Y)I~](ZC9Z[3Y)IDK7LK.gif[/img]b/radiusplugin.so /usr/local/etc/radius.conf
#不请求客户的CA证书, utilisez l’authentification User/Pass
client-cert-non-required
#使用客户提供的UserName作为Common Nom
Nomd’utilisateur-comme-nom-commun
4. Configurer le profil client
Commentaire désactivé
; cert client1.crt
; clé client1.key
Augmentation
#询问用户名和密码
auth-user-pass
|
Publié sur 17/09/2015 19:34:21
|
|
|
Publié sur 22/09/2015 02:55:31
|
