Active-Directory

多 OU 使用者搜尋具有 AD/LDAP 身份驗證的 OpenVPN 伺服器

  • June 29, 2020

我有一個針對單個​​ AD 域進行身份驗證的 OpenVPN 伺服器。

這是我與 OpenVPN 一起使用的auth-ldap.conf

   <LDAP>
           URL             ldap://ad1.test.company:389,ldap://ad2.test.company:389
           BindDN          "CN=openvpnauth,CN=Users,DC=test,DC=company"
           Password        "A!thP123w00rd"
           Timeout         15
           TLSEnable       no
           FollowReferrals yes
   </LDAP>

   <Authorization>
           BaseDN          "DC=test,DC=company"
           SearchFilter    "(sAMAccountName=%u)"
           RequireGroup    true
                   <Group>
                           BaseDN  "CN=Users,DC=test,DC=company"
                           SearchFilter "(cn=VPN Users)"
                           MemberAttribute "member"
                   </Group>

因此,上述內容針對 AD 對使用者進行身份驗證並按設計工作。

"CN=Users,DC=test,DC=company"它在(預設的“/使用者”OU)中搜尋使用者組“VPN使用者”

如果使用者設置了正確的組,VPN Users那麼它允許使用者進入!

我想將使用者添加到另一個單獨的 OU,例如: Team1/Desktop-users/Standard users可能是我的新 OU,其中包含使用者。我想允許該 OU 中的使用者以及原始使用者。

這會像<Group>在配置中添加另一個對像一樣簡單嗎?

這有效:

<Group>
  BaseDN  "DC=test,DC=company"
  SearchFilter "(cn=VPN Users)"
  MemberAttribute "member"
</Group>

您可以將基本 DN 更改為域根目錄,例如 dc=domian,dc-com 這將覆蓋域中的所有 OU,並且可能需要更多時間來搜尋使用者/組

最好使用各自的 OU 或父 OU 進行有效搜尋

引用自:https://serverfault.com/questions/751676