Привязка пользователей AD к сертификату OpenVPN + mac адресу устройства
-
Здравствуйте, задумался над проблемой привязки пользователей АД к сертификату который выдает pfsense. Чтобы, например, пользователь Иванов (Ivanov) мог подключиться только по сертификату, который мы за ним закрепим. Я знаю, что если создавать пользователя в pfsense, то можно закрепить за ним cert, а вот если через АД? И еще есть возможность закрепить имя пользователя или сертификат и mac адрес устройства? Спасибо за ответы и уделенное время.
-
Если в System-User Manager-Authentication Servers
настроить связь с AD, то в настройках OpenVPN сервера при выборе
SSL/TLS +user auth должна в разделе Backend for authentication появиться ваша связь с AD.@kudrik_tt said in Привязка пользователей AD к сертификату OpenVPN + mac адресу устройства:
И еще есть возможность закрепить имя пользователя или сертификат и mac адрес устройства,
Маловероятно
-
Спасибо, да, я так и сделал, настроил Radius сервер, и аутентификация стоит через АД, но как сделать так чтобы пользователь заходил только с помощью своего сертификата, чтобы Ivanov мог подключиться только с сертификатом Ivanov, но не мог с сертификатом Fedorov. Возможно ли это?
-
А что мешает использовать и сертификаты и AD?
Сервер проверяет сертификат, AD - логин\пароль.
У сервера включить Strict User-CN Matching -
Большое спасибо, то что нужно. Давненько не заглядывал в настройки VPN. Спасибо. Ну а к mac я думаю привязать не получиться?
-
@kudrik_tt маловероятно. MAC в режме TUN вообще не виден серверу, в режиме TAP - возможно, никогда TAP не использовал.
-
Кстати:
https://vorkbaard.nl/set-up-openvpn-on-pfsense-with-user-certificates-and-active-directory-authentication/ -
@pigbrother Да, спасибо, у меня так и настроено, и использованием Radius. Спасибо за Strict User-CN Matching, это ответ на мой вопрос, про mac я видимо перегнул, я тоже проштудировал логи OpenVPN подключения в режиме tun, и не увидел там никаких намеков на mac.