Active-Directory
多 OU 使用者搜尋具有 AD/LDAP 身份驗證的 OpenVPN 伺服器
我有一個針對單個 AD 域進行身份驗證的 OpenVPN 伺服器。
這是我與 OpenVPN 一起使用的auth-ldap.conf
<LDAP> URL ldap://ad1.test.company:389,ldap://ad2.test.company:389 BindDN "CN=openvpnauth,CN=Users,DC=test,DC=company" Password "A!thP123w00rd" Timeout 15 TLSEnable no FollowReferrals yes </LDAP> <Authorization> BaseDN "DC=test,DC=company" SearchFilter "(sAMAccountName=%u)" RequireGroup true <Group> BaseDN "CN=Users,DC=test,DC=company" SearchFilter "(cn=VPN Users)" MemberAttribute "member" </Group>
因此,上述內容針對 AD 對使用者進行身份驗證並按設計工作。
"CN=Users,DC=test,DC=company"
它在(預設的“/使用者”OU)中搜尋使用者組“VPN使用者”如果使用者設置了正確的組,
VPN Users
那麼它允許使用者進入!我想將使用者添加到另一個單獨的 OU,例如: Team1/Desktop-users/Standard users可能是我的新 OU,其中包含使用者。我想允許該 OU 中的使用者以及原始使用者。
這會像
<Group>
在配置中添加另一個對像一樣簡單嗎?
這有效:
<Group> BaseDN "DC=test,DC=company" SearchFilter "(cn=VPN Users)" MemberAttribute "member" </Group>
您可以將基本 DN 更改為域根目錄,例如 dc=domian,dc-com 這將覆蓋域中的所有 OU,並且可能需要更多時間來搜尋使用者/組
最好使用各自的 OU 或父 OU 進行有效搜尋