OPENVPN + AD

Raphael 0

Bonjour,

J'aurais besoin de vos lumières.

Contexte : milieu pro, niveau expertise: tech système et réseau, age de la solution: nouveau.

Besoin : Installer un OPENVPN pour permettre aux clients d'utiliser leur logiciel métier sur le serveur.

Schéma : Serveur hébergé Online, 2 VMs dessus : Pfsense + AD

Autres fonctions assignées au pfSense : VPN

Question : 2 problèmes rencontrés.

Le premier, je souhaite que ce soit un groupe de mon AD qui permette l'accès au VPN et non une OU. Sauf que j'ai beau faire des tests, je n'y arrive pas. J'ai suivi sans succès cette procédure : https://www.it-connect.fr/pfsense-configurer-un-vpn-ssl-client-to-site-avec-openvpn/

Deuxième problème, lorsque je fais le test dans LDAP Settings, j'ai le résultat suivant :
Attempting connection to 192.168.XXX.X OK
Attempting bind to 192.168.XXX.X OK
Attempting to fetch Organizational Units from 192.168.XXX.X failed

Pistes imaginées : Je pense que le test en Failed montre un défaut de connexion à mon AD ce qui pourrais expliquer mon problème de distribution de droit d'accès au VPN mais je ne trouve pas de solution.

Merci d'avance pour le temps que vous m'accorderez.

Cordialement,

Raphael.

jdh

Pas facile de comprendre sans schéma et sans présentation comme A LIRE EN PREMIER ...

Le tuto décrit la méthode en créant UN user issu de l'AD : commencez par vérifier cela, avant de passer via un goupe ...

L'authentification par rapport à l'AD se fait en 2 temps :

• avec un utilisateur lecteur de l'AD, il y a 'bind', ce qui semble OK
• avec le couple user/mdp, il y a 'vérification du user', ce qui semble pas OK

NB : ne pas utiliser 'administrateur' comme utilisateur lecteur de l'AD, il faut créer dans l'AD un user pour ce type d'accès et lui donner juste les droits suffisants ...

Raphael 0

@jdh Merci pour votre retour.

J'ai résolu mon problème mais je ne peux toujours pas gérer les droits d'accès au VPN par le biais d'un groupe défini dans l'AD.

J'ai contourné mon problème afin de rendre tout ça fonctionnel.

jdh

@raphael-0
Voilà une réponse ... sans utilité : 'j'ai contourné' sans dire quoi que ce soit n'est pas utile !

Il y a toujours 2 approches :

• déclarer chaque user
• déclarer un groupe

Dans le premier cas, quand on ne veut plus de tel user on agit au niveau de pfSense. Dans le second, on agit au niveau du DC.

Plus le groupe est important, plus longue est la mise en oeuvre quand il faut créer les users, mais plus précise est la suppression ...

Raphael 0

@jdh C'est un réponse... sans précision car le contournement est simplement de localiser les utilisateurs du VPN dans une OU isolée. Rien de significatif mais cela reste une solution de contournement vu que je ne trouve pas comment déclarer un groupe de l'AD.

Merci à toi pour ton aide.