Navigation

    Netgate Discussion Forum
    • Register
    • Login
    • Search
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search

    OpenVPN ldap - strip domain

    Russian
    2
    8
    1030
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • G
      gmn last edited by

      Добрый день.

      Настроен openvpn.
      Настроена аутентификация в Active Directory.
      При вводе логина в виде "домен\логин" выдает в лог ошибку:
      openvpn: /openvpn.auth-user.php: ERROR! Either LDAP search failed, or multiple users were found.

      Пользователь один, поиском находится, но только без доменной части.
      Каким параметром, патчем … и т.д. заставить обрезать доменную часть из логина?

      P.S. Раньше была аутентификация через радиус (на FreeBSD) - там работало и с доменной частью и без нее.
      Пользователи не придавали этому значения.

      1 Reply Last reply Reply Quote 0
      • werter
        werter last edited by

        Добрый.

        В 2.2.1 пофикшено - https://redmine.pfsense.org/issues/4340
        Бэкап и обновляйтесь.

        P.s. И не ленитесь пользоваться поиском в Сети.

        1 Reply Last reply Reply Quote 0
        • G
          gmn last edited by

          Спасибо, я видел описание этого бага.
          Версия 2.2.4 - последняя, amd64.
          Установлена на чистый хост, не в режиме обновления.

          OpenVPN 2.3.7 amd64-portbld-freebsd10.1 [SSL (OpenSSL)] [LZO] [MH] [IPv6] built on Jun 19 2015
          
          

          Установлен пакет "OpenVPN Client Export Utility".
          Через него сделал экспорт кофнига и сертификатов.
          Проверил - не проходит логин с доменной частью.

          1 Reply Last reply Reply Quote 0
          • G
            gmn last edited by

            @werter:

            В 2.2.1 пофикшено - https://redmine.pfsense.org/issues/4340

            Там исправлена ошибка обработки спец. символов в логине (в частности в примере "&").
            Мной описан другой случай.
            Когда логин вводится в виде "домен\логин".
            В таком виде авторизация не проходит.

            1 Reply Last reply Reply Quote 0
            • werter
              werter last edited by

              http://www.administrator.de/frage/pfsense-authentifizierung-ldap-254451.html

              So, now I have found the error.  Importantly, note the following:

              In the "Authentication containers" come in all OUs where users are stored.  In my case the AD is slightly larger than in the examples shown in the net.  For example, if users are nested in other OUs, this Müsen also be specified in this field.  Here it makes the "Select" button very easily.  When clicking it, then the entire AD is a display.  Here you simply only makes the Häcken, where users are stored.

              The "Extended Query" field remains empty.

              In the "bind creditals" I've typed in the application as follows: cn = pfsense, OU = pfSense, OU = Users, OU = Hannover, OU = automobiles, dc = Hanover, dc = company, dc = com
              (Of course this is just an example).  Here's the user to log in the AD "pfsense" in the OU "pfsense".

              Here one should also take a user who in the AD has no rights.  Have seen that some have even taken a Domain Admin.

              It is also important that "Search scope" is selected with "Entire Subtree" so that pfsense also can search the entire AD.

              Hello There,

              one in the same AD object can only be in an OU!
              But to appeal to the object via LDAP, of course, the entire LDAP path must be specified.
              What kind of user you will take depends on what the can needs.  Read access each user has but possibly not at all in AD!

              Greeting

              1 Reply Last reply Reply Quote 0
              • G
                gmn last edited by

                @werter:

                http://www.administrator.de/frage/pfsense-authentifizierung-ldap-254451.html

                А где здесь говорится о доменной части логина?
                На другом хосте, где используется FreeBSD и openvpn с аутентификацией через radius - все работает.
                Т.е. проблема в обработке домена из логина пользователя через ldap-плагин.

                1 Reply Last reply Reply Quote 0
                • werter
                  werter last edited by

                  На другом хосте, где используется FreeBSD и openvpn с аутентификацией через radius - все работает.

                  Мне кажется или в этом случае другие механизмы работают ?

                  Попробуйте отписаться на англоветке.

                  1 Reply Last reply Reply Quote 0
                  • G
                    gmn last edited by

                    На FreeBSD c openvpn-auth-ldap такое же поведение.
                    Если логин с доменом - ошибка.

                    1 Reply Last reply Reply Quote 0
                    • First post
                      Last post