Discussion :

[sbill]

Bonjour,

J'utilise Google Cloud Identity, j'ai mis en place un server OpenVPN (community). J'essaye d'uniquement autoriser la connexion à mon VPN via les comptes disponible sur Google Cloud Identity. Pour se faire j'ai créer un client LDAP sur mon interface Google et récupérer le certificat qui va bien. J'utilise le plugin openvpn-auth-ldap.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
plugin /usr/lib/openvpn/openvpn-auth-ldap.so /etc/openvpn/auth/ldap.conf
verify-client-cert optional

Voici mon ldap.conf

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
<LDAP>
    URL ldaps://ldap.google.com:636
    Timeout 30
    TLSEnable false
    FollowReferrals yes

    # Certificates
    TLSCACertDir /etc/ssl/certs/
    TLSCertFile /etc/openvpn/ldap/Google_2027_11_07_50982.crt
    TLSKeyFile /etc/openvpn/ldap/Google_2027_11_07_50982.key

    #BindDN "cn=TOTO,dc=org,dc=com"
    #Password "PASSWORD"
</LDAP>

<Authorization>
    BaseDN "ou=Users,dc=org,dc=com"
    SearchFilter "(uid=%u)"
    RequireGroup false
</Authorization>

Et voici mon erreur au moment que j'essaye de me connecter via openvpn:

Nov 08 22:45:51 test ovpn-server[10059]: LDAP bind failed: Insufficient access (User is not licensed)
Nov 08 22:45:51 -test openvpn[10059]: LDAP bind failed: Insufficient access (User is not licensed)
Nov 08 22:45:51 test openvpn[10059]: Incorrect password supplied for LDAP DN "uid=sbill.henri,ou=Users,dc=org,dc=com".
Nov 08 22:45:51 test ovpn-server[10059]: Incorrect password supplied for LDAP DN "uid=sbill.henri,ou=Users,dc=org,dc=com".
Nov 08 22:45:51 test ovpn-server[10059]: 127.0.0.1:41129 PLUGIN_CALL: POST /usr/lib/openvpn/openvpn-auth-ldap.so/PLUGIN_AUTH_USER_PASS_VERIFY status=1
Nov 08 22:45:51 test ovpn-server[10059]: 127.0.0.1:41129 PLUGIN_CALL: plugin function PLUGIN_AUTH_USER_PASS_VERIFY failed with status 1: /usr/lib/openvpn/openvpn-auth-ldap.so
Nov 08 22:45:51 test ovpn-server[10059]: 127.0.0.1:41129 TLS Auth Error: Auth Username/Password verification failed for peer

Mon utilisateur à bien une license Cloud Identity, j'ai vérifié sur le dashboard Google.

j'ai créer un utilisateur "Toto" pour mon LDAP client, cependant quand j'essaye de l'utiliser il me dit qu'il ne trouve pas l'utilisateur TOTO. J'ai un doute sur le fonctionnement, ai-je besoin d'utiliser mon utilisateur TOTO en plus du certificat ou est-ce l'un ou l'autre?

A noter qu'une simple recherche fonctionne:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
export LDAPTLS_CERT=/etc/openvpn/ldap/Google_2027_11_07_50982.crt
export LDAPTLS_KEY=/etc/openvpn/ldap/Google_2027_11_07_50982.key
ldapsearch -v -H ldaps://ldap.google.com:636 -b "dc=org,dc=com" "(objectClass=*)" dn

Merci pour votre aide.

[A3gisS3c]

Hello,
Bon comme tu n'as pour le moment eu aucune réponse je me lance.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
verify-client-cert optional

Ca je te déconseille.

ldapsearch -v -H ldaps://ldap.google.com:636 -b "dc=org,dc=com" "(objectClass=*)" dn

Come je n'ai pas accès à ton /etc/ldap.conf, confirmes moi que tu as utilisé le Binddn suivant pour ton ldapsearch: "uid=sbill.henri,ou=Users,dc=org,dc=com" stp.
Tu n'as pas mis l'option -W dans ton ldapsearch le bindpw est dans ton /etc/ldap.conf? Bizarre cette option n'existe pas à ma connaissance.

cependant quand j'essaye de l'utiliser il me dit qu'il ne trouve pas l'utilisateur TOTO

Tu as bien créer ton TOTO dans une OU de l'arbre de ton search base ("ou=Users,dc=org,dc=com")?

Ca ressemble quand même pas mal à un problème de license (User is not licensed)