Привязка пользователей AD к сертификату OpenVPN + mac адресу устройства



  • Здравствуйте, задумался над проблемой привязки пользователей АД к сертификату который выдает pfsense. Чтобы, например, пользователь Иванов (Ivanov) мог подключиться только по сертификату, который мы за ним закрепим. Я знаю, что если создавать пользователя в pfsense, то можно закрепить за ним cert, а вот если через АД? И еще есть возможность закрепить имя пользователя или сертификат и mac адрес устройства? Спасибо за ответы и уделенное время.



  • Если в System-User Manager-Authentication Servers
    настроить связь с AD, то в настройках OpenVPN сервера при выборе
    SSL/TLS +user auth должна в разделе Backend for authentication появиться ваша связь с AD.

    @kudrik_tt said in Привязка пользователей AD к сертификату OpenVPN + mac адресу устройства:

    И еще есть возможность закрепить имя пользователя или сертификат и mac адрес устройства,

    Маловероятно



  • Спасибо, да, я так и сделал, настроил Radius сервер, и аутентификация стоит через АД, но как сделать так чтобы пользователь заходил только с помощью своего сертификата, чтобы Ivanov мог подключиться только с сертификатом Ivanov, но не мог с сертификатом Fedorov. Возможно ли это?



  • @kudrik_tt

    А что мешает использовать и сертификаты и AD?
    Сервер проверяет сертификат, AD - логин\пароль.
    У сервера включить Strict User-CN Matching



  • Большое спасибо, то что нужно. Давненько не заглядывал в настройки VPN. Спасибо. Ну а к mac я думаю привязать не получиться?



  • @kudrik_tt маловероятно. MAC в режме TUN вообще не виден серверу, в режиме TAP - возможно, никогда TAP не использовал.





  • @pigbrother Да, спасибо, у меня так и настроено, и использованием Radius. Спасибо за Strict User-CN Matching, это ответ на мой вопрос, про mac я видимо перегнул, я тоже проштудировал логи OpenVPN подключения в режиме tun, и не увидел там никаких намеков на mac.