Bonjour,

J'utilise Google Cloud Identity, j'ai mis en place un server OpenVPN (community). J'essaye d'uniquement autoriser la connexion à mon VPN via les comptes disponible sur Google Cloud Identity. Pour se faire j'ai créer un client LDAP sur mon interface Google et récupérer le certificat qui va bien. J'utilise le plugin openvpn-auth-ldap.

Code : Sélectionner tout - Visualiser dans une fenêtre à part
1
2
3
plugin /usr/lib/openvpn/openvpn-auth-ldap.so /etc/openvpn/auth/ldap.conf
verify-client-cert optional
Voici mon ldap.conf
Code : Sélectionner tout - Visualiser dans une fenêtre à part
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
<LDAP>
    URL ldaps://ldap.google.com:636
    Timeout 30
    TLSEnable false
    FollowReferrals yes

    # Certificates
    TLSCACertDir /etc/ssl/certs/
    TLSCertFile /etc/openvpn/ldap/Google_2027_11_07_50982.crt
    TLSKeyFile /etc/openvpn/ldap/Google_2027_11_07_50982.key

    #BindDN "cn=TOTO,dc=org,dc=com"
    #Password "PASSWORD"
</LDAP>

<Authorization>
    BaseDN "ou=Users,dc=org,dc=com"
    SearchFilter "(uid=%u)"
    RequireGroup false
</Authorization>
Et voici mon erreur au moment que j'essaye de me connecter via openvpn:
Nov 08 22:45:51 test ovpn-server[10059]: LDAP bind failed: Insufficient access (User is not licensed)
Nov 08 22:45:51 -test openvpn[10059]: LDAP bind failed: Insufficient access (User is not licensed)
Nov 08 22:45:51 test openvpn[10059]: Incorrect password supplied for LDAP DN "uid=sbill.henri,ou=Users,dc=org,dc=com".
Nov 08 22:45:51 test ovpn-server[10059]: Incorrect password supplied for LDAP DN "uid=sbill.henri,ou=Users,dc=org,dc=com".
Nov 08 22:45:51 test ovpn-server[10059]: 127.0.0.1:41129 PLUGIN_CALL: POST /usr/lib/openvpn/openvpn-auth-ldap.so/PLUGIN_AUTH_USER_PASS_VERIFY status=1
Nov 08 22:45:51 test ovpn-server[10059]: 127.0.0.1:41129 PLUGIN_CALL: plugin function PLUGIN_AUTH_USER_PASS_VERIFY failed with status 1: /usr/lib/openvpn/openvpn-auth-ldap.so
Nov 08 22:45:51 test ovpn-server[10059]: 127.0.0.1:41129 TLS Auth Error: Auth Username/Password verification failed for peer
Mon utilisateur à bien une license Cloud Identity, j'ai vérifié sur le dashboard Google.

j'ai créer un utilisateur "Toto" pour mon LDAP client, cependant quand j'essaye de l'utiliser il me dit qu'il ne trouve pas l'utilisateur TOTO. J'ai un doute sur le fonctionnement, ai-je besoin d'utiliser mon utilisateur TOTO en plus du certificat ou est-ce l'un ou l'autre?

A noter qu'une simple recherche fonctionne:
Code : Sélectionner tout - Visualiser dans une fenêtre à part
1
2
3
4
export LDAPTLS_CERT=/etc/openvpn/ldap/Google_2027_11_07_50982.crt
export LDAPTLS_KEY=/etc/openvpn/ldap/Google_2027_11_07_50982.key
ldapsearch -v -H ldaps://ldap.google.com:636 -b "dc=org,dc=com" "(objectClass=*)" dn
Merci pour votre aide.