OpenVPN ldap - strip domain

gmn

Добрый день.

Настроен openvpn.
Настроена аутентификация в Active Directory.
При вводе логина в виде "домен\логин" выдает в лог ошибку:
openvpn: /openvpn.auth-user.php: ERROR! Either LDAP search failed, or multiple users were found.

Пользователь один, поиском находится, но только без доменной части.
Каким параметром, патчем … и т.д. заставить обрезать доменную часть из логина?

P.S. Раньше была аутентификация через радиус (на FreeBSD) - там работало и с доменной частью и без нее.
Пользователи не придавали этому значения.

werter

Добрый.

В 2.2.1 пофикшено - https://redmine.pfsense.org/issues/4340
Бэкап и обновляйтесь.

P.s. И не ленитесь пользоваться поиском в Сети.

gmn

Спасибо, я видел описание этого бага.
Версия 2.2.4 - последняя, amd64.
Установлена на чистый хост, не в режиме обновления.

OpenVPN 2.3.7 amd64-portbld-freebsd10.1 [SSL (OpenSSL)] [LZO] [MH] [IPv6] built on Jun 19 2015

Установлен пакет "OpenVPN Client Export Utility".
Через него сделал экспорт кофнига и сертификатов.
Проверил - не проходит логин с доменной частью.

gmn

@werter:

В 2.2.1 пофикшено - https://redmine.pfsense.org/issues/4340

Там исправлена ошибка обработки спец. символов в логине (в частности в примере "&").
Мной описан другой случай.
Когда логин вводится в виде "домен\логин".
В таком виде авторизация не проходит.

werter

http://www.administrator.de/frage/pfsense-authentifizierung-ldap-254451.html

So, now I have found the error.  Importantly, note the following:

In the "Authentication containers" come in all OUs where users are stored.  In my case the AD is slightly larger than in the examples shown in the net.  For example, if users are nested in other OUs, this Müsen also be specified in this field.  Here it makes the "Select" button very easily.  When clicking it, then the entire AD is a display.  Here you simply only makes the Häcken, where users are stored.

The "Extended Query" field remains empty.

In the "bind creditals" I've typed in the application as follows: cn = pfsense, OU = pfSense, OU = Users, OU = Hannover, OU = automobiles, dc = Hanover, dc = company, dc = com
(Of course this is just an example).  Here's the user to log in the AD "pfsense" in the OU "pfsense".

Here one should also take a user who in the AD has no rights.  Have seen that some have even taken a Domain Admin.

It is also important that "Search scope" is selected with "Entire Subtree" so that pfsense also can search the entire AD.

Hello There,

one in the same AD object can only be in an OU!
But to appeal to the object via LDAP, of course, the entire LDAP path must be specified.
What kind of user you will take depends on what the can needs.  Read access each user has but possibly not at all in AD!

Greeting

gmn

@werter:

http://www.administrator.de/frage/pfsense-authentifizierung-ldap-254451.html

А где здесь говорится о доменной части логина?
На другом хосте, где используется FreeBSD и openvpn с аутентификацией через radius - все работает.
Т.е. проблема в обработке домена из логина пользователя через ldap-плагин.

werter

На другом хосте, где используется FreeBSD и openvpn с аутентификацией через radius - все работает.

Мне кажется или в этом случае другие механизмы работают ?

Попробуйте отписаться на англоветке.

gmn

На FreeBSD c openvpn-auth-ldap такое же поведение.
Если логин с доменом - ошибка.