|
|
Опубликовано 17.09.2015 19:34:21
|
|
|
Цель: Клиент всё ещё подключён к корпоративной локальной сети, но для удобства управления пользователями данные аутентификации поступают с номера TEXT
По данным библиотеки.
Основные настройки OpenVPN Server: метод подключения маршрутизирован, а метод аутентификации — TEXT/POP3
Предлагаемое устройство использует тюн
1. Скачайте скрипт аутентификации TEXT checkpsw.sh и скопируйте его в каталог /usr/local/etc/ и chmod u+x.
http://openvpn.se/files/other/
Примечание: 1. Если возникает проблема с сохранением скрипта в Windows и загрузкой Linux, лучше создать новый скрипт с таким же именем в этой директории
Файл затем вставляется из консоли.
2. Сценарий не начинается с #! Это нужно исправить.
2. Настройте конфигурационный файл сервера на основе (1).
Добавьте следующие строки:
# метод cmd auth-user-pass-verify: запрос клиента по имени пользователя/паролю и
# Запусти scrip{filter}t cmd для проверки. Если method='via-env', пропускать
# user/pass через окружение, if method='via-file', pass
# пользователь/пропуск через временный файл.
auth-user-pass-verify /usr/local/etcfile:///C:\Users\lenovo\AppData\Local\Temp\)QN1UH78VKP2T7)IA]ZM(FW.gifeckpsw.sh via-env
#不请求客户的CA证书, используйте аутентификацию пользователя/пропуска
клиент-сертификат-не-требуется
#使用客户提供的UserName作为Common Имя
Имя пользователя-как-общее имя
3. Настройте профиль клиента
Оставить комментарий
; cert client1.crt
; Ключевой client1.key
Увеличение
#询问用户名和密码
Аутентификационный пропуск пользователя
4. Измените переменную PASSFILE в checkpsw.sh на .
PASSFILE="/usr/local/etc/psw-file"
5. Создать /usr/local/etc/psw-файл с следующим содержимым:
Формат: вкладка имени пользователя Пароль
User1 pass
User2 pass
Примечание: после успешного эксперимента я переписал его с помощью perl после checkpsw.sh (checkpsw.pl в каталоге)
Да.
6. По тому же принципу мы можем использовать аутентификацию POP3 (^_^ конечно, доступны и другие)
См. popauth.pl в оглавлении для сценариев
(5) Настройка режима маршрутизации сервера OpenVPN + аутентификации пароля + RADIUS
Сетевая среда: Добавить сервер win2003 с IP-адресом 192.168.80.130 на основе (1).
^_^ Извините, я подключил сервер к публичной сети. Но, к счастью, это было испытание.
Цель: Клиент всё ещё подключён к корпоративной локальной сети, но для удобства управления пользователями данные аутентификации поступают с радиусного номера
По данным библиотеки.
Базовые настройки сервера OpenVPN: метод подключения маршрутизируется, метод аутентификации — радиусная аутентификация, используется виртуальное устройство
Используйте строй
1. Настройте сервер Radius
См. приложение Услуги IAS Building в разделе win2003
2. Настройте radiusplugin
1.radiusplugin_v2.0.tar.gz: radiusplugin.so можно скомпилировать
Перейдите в http://www.nongnu.org/radiusplugin/, чтобы скачать
2. библиотека поддержки libgcrypt: Вы можете скомпилировать /usr[img]file:///C:\Users\lenovo\AppData\Local\Temp\)A[Y)I~](ZC9Z[3Y)IDK7LK.gif[/img]b[img]file:///C:\Users\lenovo\AppData\Local\Temp\)A[Y)I~]( ZC9Z[3Y)IDK7LK.gif[/img]bgcrypt.so.11
Скачайте на ftp://ftp.gnupg.org/gcrypt/libgcrypt/libgcrypt-1.2.4.tar.gz
3. библиотека поддержки libgpg-error: /usr/local[img]file:///C:\Users\lenovo\AppData\Local\Temp\)A[Y)I~](ZC9Z[3Y)IDK7LK.gif[/img]b[img]file:///C:\Users\lenovo\AppData\Local\Temp\)A [Y] I~](ZC9Z[3Y)IDK7LK.gif[/img]bgpg-error.so.0
Скачайте его на ftp://ftp.gnupg.org/gcrypt/libgpg-error/libgpg-error-1.5.tar.gz
Просто скомпилируйте вышеуказанные 3 поддерживаемые библиотеки, настройте; создать; make install。
Мы собираемся использовать radiusplugin.so, а остальное — библиотека поддержки radiusplugin.so.
Ну, если вы сможете radiusplugin.so, вы добились 80%, а остальное — это конфигурация.
Скопируйте radiusplugin.so в /usr/local/etc[img]file:///C:\Users\lenovo\AppData\Local\Temp\)A[Y)I~](ZC9Z[3Y)IDK7LK.gif[/img]b и настройте его конфигурационный файл radiusplugin.conf
Содержание следующее:
# Идентификатор NAS, который отправляется на сервер RADIUS
NAS-Identifier=OpenVpn
# Тип сервиса, который отправляется на сервер RADIUS
Service-Type=5
# Фреймированный протокол, который отправляется на сервер RADIUS
Framed-Protocol=1
# Тип порта NAS, который отправляется на сервер RADIUS
NAS-Port-Type=5
# Это IP, управляющий сервером OpenVPN, который выступает в роли клиента Radius
NAS-IP-адрес=192.168.80.129
#这里指明 Местоположение конфигурации OpenVPN
OpenVPNConfig=/usr/local/etcfile:///C:\Users\lenovo\AppData\Local\Temp\V7(XMWRN]{G8~CI}BCCR3QC.gifrver.conf
# Здесь определите, что параметр сервера с радиусом более 1 может использоваться в качестве резервного варианта
Сервер
{
# UDP-порт для учета радиуса.
acctport=1813
# UDP-порт для радиусной аутентификации.
Authport=1812
# Это IP моего радиусного сервера, и пользователь добавлен.
name=192.168.80.130
# Сколько раз плагин должен отправлять ответ, если нет ответа?
retry=1
# Сколько времени плагин должен ждать ответа?
ждать=1
# Общий секрет. Настройте общий ключ в Winradius и установите ключ -system-NAS
sharedsecret=123456
}
3. Настройте конфигурационный файл сервера на основе (1).
Добавьте следующие строки:
#说明使用的插件
plugin /usr/local/etc[img]file:///C:\Users\lenovo\AppData\Local\Temp\)A[Y)I~](ZC9Z[3Y)IDK7LK.gif[/img]b/radiusplugin.so /usr/local/etc/radius.conf
#不请求客户的CA证书, используйте аутентификацию пользователя/пропуска
клиент-сертификат-не-требуется
#使用客户提供的UserName作为Common Имя
Имя пользователя-как-общее имя
4. Настройте профиль клиента
Оставить комментарий
; cert client1.crt
; Ключевой client1.key
Увеличение
#询问用户名和密码
Аутентификационный пропуск пользователя
|
Предыдущий:Без названияСледующий:[Оригинал] Инструмент для расшифровки шифрования Unicode, начинающий с "\u"
|
Опубликовано 22.09.2015 2:55:31
|
