Hezký den,
už několikerý den bojuji se zprovozněním autentizací uživatelů OpenVPN vůči FreeIPA. Mám 2 virtualizované servery, jeden s IPA a druhý čistě na OpenVPN, který byl jednoduše nakonfigurován pomocí příkazu
ipa-client-install
Následně nainstalovano OpenVPN s SSL/TLS autentizací pro vícero uživatelů.
Obě tyto služby nezávazně na sobě fungují
- Z OpenVPN serveru se mohu připojit na uživatele ve FreeIPA serveru skrze SSSd
- Ověření uživatelů na OpenVPN serveru je zprostředkováno pomocí certifikátu + přihlaš. údajů lokálních uživatelů
Podle různých návodů na webu jsem došel k závěru, že je potřeba vytvořit nový pam modul.
Problém však nastává při konfiguraci pam modulu, aby SSSd i OpenVPN autentizace fungovala společně.
https://www.reddit.com/r/linuxadmin/comments/2qhghl/openvpn_freeipa_authentication/cn7a228/https://www.linuxsysadmintutorials.com/setup-pam-authentication-with-openvpns-auth-pam-moduleMomentálně můj
/etc/pam.d/openvpn vypadá následovně, s tím že jsem testoval autentizaci vůči lokálním OpenVPN uživatelům:
auth required pam_unix.so shadow nodelay
auth requisite pam_succeed_if.so uid >= 1000 quiet
auth required pam_tally2.so deny=4 even_deny_root unlock_time=1200
account required pam_unix.so
Do
/etc/openvpn/server.conf jsem přidal:
plugin /usr/lib/openvpn/openvpn-plugin-auth-pam.so openvpn
A v client.ovpn byl přidán parametr
auth-user-pass
OpenVPN uživatel vybaven certifikátem je navíc vyzván k zadání jména a hesla. Mohli byste mi prosím poradit, jak dále přepsat pam modul, aby fungoval i proti sssd? Budu rád za jakékoliv nasměrování.