一部の VPN クライアントは、LDAP を使用してユーザーを認証できます。下記から VPN を選択して、Foxpass と統合するように VPN を構成する方法の説明をお読み下さい。
LDAP 経由の OpenVPN AS
Foxpass を利用した、LDAP による OpenVPN AS 認証。
まず、Foxpass にログインして、次の手順を実行します。
- ダッシュボード ページでベース DN をメモします。コピーしてどこかに貼り付けます。
- LDAP バインダー ページで「openvpn」という名前の LDAP バインダー アカウントを作成します。生成されたパスワードをコピーして貼り付けます。一度だけ表示されます。
- プライマリ サーバー: ldap.foxpass.com
- セカンダリ サーバー: (空白のまま)
- 「SSL を使用して LDAP サーバーに接続する」を有効にします
- 初期バインドの資格情報: 「これらの資格情報を使用してください」
- バインド DN: cn=openvpn,[ ベース dn ] (つまり、cn=openvpn,dc=example,dc=com)
- パスワード: [上記のバインダーパスワード]
- ユーザーエントリのベース DN: ou=people,[ あなたのベース DN ] (つまり、ou=people,dc=example,dc=com)
- ユーザー名属性: uid
- オプション: 特定のグループへのアクセスを制限するには、[Additional LDAP Requirement] を memberOf=cn=[ group name ],ou=groups,[ your base dn ] に設定します (ie memberOf=cn=vpn,ou=groups,dc=example,dc =com)
- オプションですが、強くお勧めします: Google Authenticator を使用して 2 要素認証を使用するように OpenVPN を構成します。
- オプションですが、Foxpass または委任された認証方法で MFA を有効にしている場合は強くお勧めします: OpenVPN が LDAP サーバーからの応答を待機するタイムアウトを増やします。ユーザーが MFA プッシュ通知に応答するには時間がかかることがあるため、これは重要です。ユーザーがプッシュ通知に応答できるようにタイムアウトを長くすることをお勧めします (60 秒など)。次のコマンドを実行して、タイムアウトのデフォルトの 4 秒を増やすことができます。
./sacli --key "auth.ldap.0.timeout" --value <SECONDS> ConfigPut
./sacli start
./sacli start
ユーザーは自分のユーザー名 (「bob@example.com」ではなく「bob」) と「Foxpass」パスワードでログインします。「Foxpass」パスワードを設定していない場合は、このページに誘導して設定してください。
LDAP 経由の OpenVPN
Foxpass を利用した LDAP による OpenVPN 認証。
Foxpass コミュニティのメンバーであるAaron Vinsonは、OpenVPN を Foxpass と統合した Docker コンテナーをリリースしました。ここで確認してください:https://github.com/avinson/foxpass-openvpn.
まず、Foxpass にログインして、次の手順を実行します。
- ダッシュボード ページでベース DN をメモします。コピーしてどこかに貼り付けます。
- LDAP バインダー ページで「openvpn」という名前の LDAP バインダー アカウントを作成します。生成されたパスワードをコピーして貼り付けます。一度だけ表示されます。
BindDN cn=<binder name>,dc=example,dc=com
# Bind Password
Password "********"
# Network timeout (in seconds)
Timeout 15
# Disable Start TLS
TLSEnable no
# Follow LDAP Referrals (anonymously)
FollowReferrals yes
# TLS CA Certificate File
#TLSCACertFile /usr/local/etc/ssl/ca.pem
# TLS CA Certificate Directory
#TLSCACertDir /etc/ssl/certs
# Client Certificate and key
# If TLS client authentication is required
#TLSCertFile /usr/local/etc/ssl/client-cert.pem
#TLSKeyFile /usr/local/etc/ssl/client-key.pem
# Cipher Suite
# The defaults are usually fine here
# TLSCipherSuite ALL:!ADH:@STRENGTH
# Base DN BaseDN "ou=people,dc=example,dc=com" # User Search Filter
SearchFilter "(&(uid=%u))"
# Require Group Membership
RequireGroup false
# If you want to limit to certain group(s), set RequireGroup to true (above)
# uncomment below and edit the BaseDN and SearchFilter line
#<Group>
# BaseDN "ou=groups,dc=example,dc=com"
# SearchFilter "(|(cn=developers)(cn=artists))"
# MemberAttribute member
#</Group>