Seite 1 von 1

Ein Zertifikat pro OpenVPN User mit AD-Anbindung.

Verfasst: Do 25.10.2018, 16:33
von dzajac
Hallo,

ist es mögilch für User aus einer AD Gruppe pro User ein eigenes Clientzertifikat zu verwenden?

Ich möchte es nach Möglichkeit vermeiden, dass alle User manuell angelegt werden müssen. Es wäre also interessant, ob die User aus der AD-Gruppe importiert werden können.
Hintergrund ist, ich möchte für bestimmte User nur Zertifikate mit einer bestimmten Laufzeit erstellen. Da ich aber den AD User im Interface nicht sehe, kann ich für ihn keine bestimmte Config mit einem eigenen Clientzertifikat zum Download einstellen.

Die Konfig sollen die User am besten selbst mit den AD Daten ausdem Interface laden können.

Ist das möglich und ich sehe den Weg gerade nicht?

VG,

Re: Ein Zertifikat pro OpenVPN User mit AD-Anbindung.

Verfasst: Fr 26.10.2018, 07:47
von Bjoern
Hallo,

aktuell ist es leider nur über zwei Wege möglich.
1. Sie benutzen einen Dummy User und weisen diesem die erste Konfig zu. Diese exportieren Sie dann und dann ändern Sie das Zertifikat für den nächsten usw.
2. Der erste Benutzer meldet sich am Userinterface an und lädt es runter. Danach ändern Sie das Zertifikat und der nächste Benutzer lädt es sich herunter usw.

Gruß Björn

Re: Ein Zertifikat pro OpenVPN User mit AD-Anbindung.

Verfasst: Mo 15.04.2019, 10:24
von Christian Beyer
Hallo, 
die Funktion wurde mit der 11.8 eingeführt.
Unter Authentifizierung -> AD/LDAP -> Erweitert -> Cert-Attribute auf das gewünschte Attribut setzen und im AD den Wert (Zertifikatsname) eintragen. 
 
Die Benutzergruppe benötigt die Berechtigungen: 
  • Userinterface
  • SSL-VPN
Sowie die Einstellungen im Reiter SSL-VPN:
  • Client im Userinterface herunterladbar -> aktiv
  • SSL-VPN Verbindung -> entsprechende Instanz auswählen
  • Remote Gateway -> IP/Hostname eintragen 
Die Zuweisung kann über das CLI geprüft werden: 
user attribute get name $username 
Als Wert für das Attribut openvpn_certificate sollte der im AD zugewiesene Wert erscheinen. 

Re: Ein Zertifikat pro OpenVPN User mit AD-Anbindung.

Verfasst: Do 18.04.2019, 10:03
von merlin
Hallo Herr Beyer,

sehr schön! Grundsätzlich funktioniert es auch, allerdings habe ich ein Problem:
In unserer Umgebung gibt es die beiden Gruppen SSLVPN und SPAMREPORT, beide haben als Berechtigung "Userinterface", und dann jeweils "SSL-VPN" und "Spamreport" und sind mit jeweils einer AD-Gruppe verknüpft.
Wenn ich die Option "Client im Userinterface herunterladbar" in der Gruppe "SSLVPN" setze, bekomme ich im Userinterface keinen Download angeboten, setze ich die Option in der Gruppe "SPAMREPORT", funktioniert der Download. Der Benutzer, mit dem ich teste, ist natürlich in beiden AD-Gruppen enthalten, die mit den beiden UTM-Gruppen verknüpft sind.

Irgendeine Idee?

Gruß
Rolf Gerold

Re: Ein Zertifikat pro OpenVPN User mit AD-Anbindung.

Verfasst: Do 18.04.2019, 11:46
von merlin
Noch zur Info:
cli> user get name $user
name   |groups           |permission
-------+-----------------+----------
$user|Spamreport,SSLVPN|WEB_USER,VPN_OPENVPN,MAILDIGESTS


Die Gruppenzugehörigkeiten passen definitiv.

Re: Ein Zertifikat pro OpenVPN User mit AD-Anbindung.

Verfasst: Do 18.04.2019, 12:33
von kennethj
Hallo,

die Option "Client im Userinterface herunterladbar" ist ein Attribut. Keine Permission.
Wenn die Firewall für den User zwei Gruppen mit einer verschiedenen Attributs Konfiguration findet, greift "First Macht Wins".

In Ihrem Fall ist das die Gruppe Spamreport, welche das Attribut für den Download dann auf 0 setzt.
Prüfen welches Attribut der User bekommt geht mit folgenden Befehl:

Code: Alles auswählen

user attribute get $user
Gruß

Re: Ein Zertifikat pro OpenVPN User mit AD-Anbindung.

Verfasst: Do 18.04.2019, 13:14
von merlin
Hallo,

jetzt wird mir so einiges klar... das sollte mal dokumentiert werden, dass "First Macht Wins" gilt. Das erwartet man (bzw. ich) nicht wirklich.

Vielen Dank!
Schöne Ostern!