Re: Firewall Router
Hallo Gerhard,
Gerhard Prade schrieb:
Hallo an alle,
ich habe die letzten Tage bei uns in der Schule testweise Endian
(http://www.endian.com/de/) als Router installiert, was recht einfach ging.
Die Software macht einen ausgereiften Eindruck und das Webinterface ist
übersichtlich und gut zu bedienen.
Wie schon bei IPFire hab ich dann eine OpenVPN Verbindung eingerichtet.
Auch das ging einfach.
Das Ziel ist es ja (wer sich noch an meine alten Mails erinnert)
na, klar doch.
eine
Authentifizierung von OpenVPN an dem LDAP vom Tjener (derzeit leider
noch am Arktur) einzustellen.
Laut http://kb.endian.com/entry/64/ soll Endian diese Möglichkeit schon
mitbringen.
Derzeit habe ich laut http://kb.endian.com/entry/12/ und
http://docs.endian.com/vpn.html#openvpn-server eine OpenVPN Verbindung
mit einem User eingerichtet.
Als nächstes muss ich nun die Datei /var/efw/openvpn/settings anpassen
und auf dem Tjener/Arktur einen User(Lehrer) anlegen
verstehe ich jetzt nicht ganz. Ich gehe mal davon aus, dass auf deinem
Server (egal ob Arktur oder Tjener) schon etliche User besser Lehrer
vorhanden sind. Warum willst du noch einen anlegen? Sollen die User, die
VPN nutzen wollen, dann mit mehreren Accounts hantieren?
(später währe doch
sowas wie ne VPN Gruppe schön, geht sowas? evtl. auch in Verbindung mit
CipUX?).
völlig richtig, wir brauchen eine Gruppe, wenn man da eingetragen ist,
dann hat man die Berechtigung, VPN zu nutzen. Zusätzlich ist zu
überlegen, ob z.B. die Admin-Gruppe (bei Arktur hadmin) automatisch die
Berechtigung erhalten. Wie man das mit Cipux macht, kann ich dir leider
nicht helfen, aber das kann Christian sicher erklären. Bei Arktur gibt
es eine solche Gruppe nicht, wie man die anlegt, kann ich dir erklären
(erst in einer Woche, weil jetzt Ferien). dann kann ich dir auch ein
Update-Paket bereitstellen. Das spielst du ein und die Gruppe VPN wird
dann automatisch im LDAP angelegt. In dem Moment ist die fehlende
Oberfläche sicher nicht mehr das Problem.
Nun meine Frage. Was muss ich in der settings Datei eintragen,
damit der Router bei einer eingehenden OpenVPN Verbindung am LDAP fragt?
Genauer, wie muss ich die Einträge aus der Anleitung
(http://kb.endian.com/entry/64/) abändern? Leider kenn ich LDAP da nicht
gut genug.
ich ergänze mal, wie es für meine Schule aussehen sollte.
Dort ist die LDAP-Base dc=erg,c=de (erg - "Schulname")
***********************************
Configuration Example
AUTHENTICATION_STACK=ldap,local
LDAP_URI=ldap://192.168.15.29
LDAP_URI=ldap://192.168.0.1
LDAP_BIND_DN=cn=Manager,dc=endian,dc=test
LDAP_BIND_DN=cn=admin,dc=erg,c=de
LDAP_BIND_PASSWORD=endian
LDAP_BIND_PASSWORD=<passwort> dürfte bei Arktur in der ldap.secret sein
LDAP_USER_BASEDN=ou=People,dc=endian,dc=test
LDAP_USER_BASEDN=o=SCHULE,dc=erg,c=de
LDAP_USER_SEARCHFILTER=(&(uid=%(u)s)(loginShell=/sbin/nologin))
hier muss ich leider passen, was dieses "uid=%(u)s" genau bedeutet.
Ich gehe davon aus, dass werden die Experten in der Liste erklären
können. Aber insgesamt ist das auch unproblematisch.
LDAP_REQUIRE_GROUP=on
lassen
LDAP_GROUP_BASEDN=ou=Group,dc=endian,dc=test
LDAP_GROUP_BASEDN=ou=GRUPPEN,o=SCHULE,dc=erg,c=de
LDAP_GROUP_SEARCHFILTER=(|(cn=openvpn)(cn=wheel)(cn=VPNaccept))
das kann erst angegeben werden, wenn die Gruppe angelegt ist
LDAP_GROUP_MEMBERATTRIBUTE=uniqueMember
kann ich dir auch erst angeben, wenn die Gruppe angelegt ist.
wie gesagt, genaueres von mir erst in einer Woche. Aber vielleicht hast
du da ja schon eine Lösung.
Mit freundlichen Grüßen
Hans-Dietrich
Reply to: