Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Привязка пользователей AD к сертификату OpenVPN + mac адресу устройства

    Scheduled Pinned Locked Moved Russian
    8 Posts 2 Posters 1.3k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • K
      kudrik_tt
      last edited by

      Здравствуйте, задумался над проблемой привязки пользователей АД к сертификату который выдает pfsense. Чтобы, например, пользователь Иванов (Ivanov) мог подключиться только по сертификату, который мы за ним закрепим. Я знаю, что если создавать пользователя в pfsense, то можно закрепить за ним cert, а вот если через АД? И еще есть возможность закрепить имя пользователя или сертификат и mac адрес устройства? Спасибо за ответы и уделенное время.

      1 Reply Last reply Reply Quote 0
      • P
        pigbrother
        last edited by

        Если в System-User Manager-Authentication Servers
        настроить связь с AD, то в настройках OpenVPN сервера при выборе
        SSL/TLS +user auth должна в разделе Backend for authentication появиться ваша связь с AD.

        @kudrik_tt said in Привязка пользователей AD к сертификату OpenVPN + mac адресу устройства:

        И еще есть возможность закрепить имя пользователя или сертификат и mac адрес устройства,

        Маловероятно

        1 Reply Last reply Reply Quote 0
        • K
          kudrik_tt
          last edited by

          Спасибо, да, я так и сделал, настроил Radius сервер, и аутентификация стоит через АД, но как сделать так чтобы пользователь заходил только с помощью своего сертификата, чтобы Ivanov мог подключиться только с сертификатом Ivanov, но не мог с сертификатом Fedorov. Возможно ли это?

          P 1 Reply Last reply Reply Quote 0
          • P
            pigbrother @kudrik_tt
            last edited by pigbrother

            @kudrik_tt

            А что мешает использовать и сертификаты и AD?
            Сервер проверяет сертификат, AD - логин\пароль.
            У сервера включить Strict User-CN Matching

            1 Reply Last reply Reply Quote 0
            • K
              kudrik_tt
              last edited by

              Большое спасибо, то что нужно. Давненько не заглядывал в настройки VPN. Спасибо. Ну а к mac я думаю привязать не получиться?

              P 1 Reply Last reply Reply Quote 0
              • P
                pigbrother @kudrik_tt
                last edited by

                @kudrik_tt маловероятно. MAC в режме TUN вообще не виден серверу, в режиме TAP - возможно, никогда TAP не использовал.

                1 Reply Last reply Reply Quote 0
                • P
                  pigbrother
                  last edited by

                  Кстати:
                  https://vorkbaard.nl/set-up-openvpn-on-pfsense-with-user-certificates-and-active-directory-authentication/

                  K 1 Reply Last reply Reply Quote 0
                  • K
                    kudrik_tt @pigbrother
                    last edited by

                    @pigbrother Да, спасибо, у меня так и настроено, и использованием Radius. Спасибо за Strict User-CN Matching, это ответ на мой вопрос, про mac я видимо перегнул, я тоже проштудировал логи OpenVPN подключения в режиме tun, и не увидел там никаких намеков на mac.

                    1 Reply Last reply Reply Quote 0
                    • First post
                      Last post
                    Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.