Как лучше реализовать связку OpenVPN + Radius + Ldap?
Добрый день! Имеется следующая схема:
Есть radius сервер + openldap авторизация по мак адресу + mikrotik, который отдает айпи из openldap.
Встала задача развернуть openvpn на mikrotike. Сделано.
Теперь руководителя посетила гениальная идея завязать openldap и сертификаты mikrotik + авторизация openvpn через радиус для создания единой системы авторизации по различным филиалам страны.
То есть как я понимаю сертификаты и учетные данные для авторизации (есть флаг для радиуса в разделе PPP -> secrets) должны братся из openldap. Явных атрибутов из схемы радиус для openldap я не нашел,зато есть kpiCA и pkiUser.
Теперь собственно вопрос как лучше всего реализовать данную схему? Переводить openvpn на полноценный сервер? Возможно ли вытягивать сертификаты из openldap? Буду рад идеям и предложениям. Спасибо
Лучше всего - отдельная виртуалка с VPN сервером.
В качестве LDAP+RADIUS+Web Interface взять FreeIPA а вместо OpenVPN - openconnect.
Openconnect совместим со всеми мобильными уст-вами и Cisco AnyConnect клиентом.
Работает по https и без сертификатов. Их туда конечно можно, но не обязательно.
я сам не особо понимаю запросы руководства, единственное логичное объяснения - это чтобы не завладели со стороны, или когда сотрудник увольняется, грухнул запись в лдап и все.
еще вопрос в чем преимущества freeipa перед openldap? будут ли работать на нем схемы от openldap?
Уважаемый Дмитрий Айткулов. Ты хотя бы глянул, что такое FreeIPA ? Прежде чем спрашивать ????
Я же понятным образом написал, что FreeIPA реализует LDAP+RADIUS+Web Interface !!!!!!!
Потом к ней подключаешь по RADIUS совместимый VPN сервер (pptpd, openconnect, openswan, openvpn) и/или корпоративный WiFi и вперёд.
Все сидят в LDAP и управляются оттуда !!!!!! Через Web Interface. И с сертификатами можно не заморачиваться, если нет особого желания.
