搭建OpenVPN结合OpenLDAP验证.doc

搭建OpenVPN结合OpenLDAP验证一、安装OpenVPN1.1、安装前准备# 关闭selinuxsetenforce 0sed -i /SELINUX=/cSELINUX=disabled /etc/selinux/config# 安装openssl和lzo，lzo用于压缩通讯数据加快传输速度yum -y install openssl openssl-develum -y install lzo# 安装epel源rpm -ivh /fedora-epel/6/x86_64/epel-release-6-8.noarch.rpmsed -i s/mirrorlist=https/mirrorlist=http/ /etc/yum.repos.d/epel.repo 1.2、安装及配置OpenVPN和easy-rsa# 安装openvpn和easy-rsayum -y install openvpn easy-rsa# 修改vars文件cd /usr/share/easy-rsa/2.0/#vi vars # 修改注册信息，比如公司地址、公司名称、部门名称等。export KEY_COUNTRY=CNexport KEY_PROVINCE=Beijingexport KEY_CITY=Beijingexport KEY_ORG=ENTSTUDYexport KEY_EMAIL=export KEY_OU=ENTSTUDY # 初始化环境变量source vars# 清除keys目录下所有与证书相关的文件# 下面步骤生成的证书和密钥都在/usr/share/easy-rsa/2.0/keys目录里./clean-all # 生成根证书ca.crt和根密钥ca.key（一路按回车即可）./build-ca # 为服务端生成证书和密钥（一路按回车，直到提示需要输入y/n时，输入y再按回车，一共两次）./build-key-server server # 每一个登陆的VPN客户端需要有一个证书，每个证书在同一时刻只能供一个客户端连接，下面建立2份# 为客户端生成证书和密钥（一路按回车，直到提示需要输入y/n时，输入y再按回车，一共两次）./build-key client1./build-key client2# 创建迪菲赫尔曼密钥，会生成dh2048.pem文件（生成过程比较慢，在此期间不要去中断它）./build-dh# 生成ta.key文件（防DDos攻击、UDP淹没等恶意攻击）openvpn -genkey -secret keys/ta.key 1.3、创建服务器端配置文件 # 在openvpn的配置目录下新建一个keys目录mkdir /etc/openvpn/keys# 将需要用到的openvpn证书和密钥复制一份到刚创建好的keys目录中cp /usr/share/easy-rsa/2.0/keys/ca.crt,server.crt,key,dh2048.pem,ta.key /etc/openvpn/keys/ # 复制一份服务器端配置文件模板server.conf到/etc/openvpn/cp /usr/share/doc/openvpn-2.3.2/sample/sample-config-files/server.conf /etc/openvpn/# 查看server.conf里的配置参数grep #; /etc/openvpn/server.conf# 编辑server.confvim /etc/openvpn/server.confport 1194# 改成tcp，默认使用udp，如果使用HTTP Proxy，必须使用tcp协议proto tcpdev tun# 路径前面加keys，全路径为/etc/openvpn/keys/ca.crtca keys/ca.crtcert keys/server.crtkey keys/server.key # This file should be kept secretdh keys/dh2048.pem# 默认虚拟局域网网段，不要和实际的局域网冲突即可server ifconfig-pool-persist ipp.txt# /8是我这台VPN服务器所在的内网的网段，读者应该根据自身实际情况进行修改push route # 可以让客户端之间相互访问直接通过openvpn程序转发，根据需要设置client-to-client# 如果客户端都使用相同的证书和密钥连接VPN，一定要打开这个选项，否则每个证书只允许一个人连接VPNduplicate-cnkeepalive 10 120tls-auth keys/ta.key 0 # This file is secretcomp-lzopersist-keypersist-tun# OpenVPN的状态日志，默认为/etc/openvpn/openvpn-status.logstatus openvpn-status.log# OpenVPN的运行日志，默认为/etc/openvpn/openvpn.log log-append openvpn.log# 改成verb 5可以多查看一些调试信息verb 5完整配置文件示例如下：local 9port 1194proto udpdev tunca keys/ca.crtcert keys/server.crtkey keys/server.key # This file should be kept secretdh keys/dh2048.pemserver ifconfig-pool-persist ipp.txtpush route push redirect-gateway def1push dhcp-option DNS client-to-clientkeepalive 10 120tls-auth keys/ta.key 0 # This file is secretcipher AES-128-CBC # AEScomp-lzopersist-keypersist-tunstatus openvpn-status.loglog openvpn.logverb 3plugin /usr/lib64/openvpn/plugin/lib/openvpn-auth-ldap.so /etc/openvpn/auth/ldap.conf #使用openvpn-auth-ldap插件连接ldap验证密码client-cert-not-required#客户端不要求证书username-as-common-name 1.4、配置内核和防火墙，启动服务# 开启路由转发功能sed -i /net.ipv4.ip_forward/s/0/1/ /etc/sysctl.confsysctl -p# 配置防火墙，别忘记保存iptables -I INPUT -p tcp -dport 1194 -m comment -comment openvpn -j ACCEPTiptables -t nat -A POSTROUTING -s /24 -j MASQUERADE注意：如果防火墙里面有如下两句请注释掉，否者客户端连接后无法上网。#-A INPUT -j REJECT -reject-with icmp-host-prohibited#-A FORWARD -j REJECT -reject-with icmp-host-prohibitedservice iptables save # 启动openvpn并设置为开机启动service openvpn startchkconfig openvpn on 二、安装openldapyum install -y openldap openldap-servers openldap-clients安装以后进行配置cp /usr/share/openldap-servers/slapd.conf.obsolete /etc/openldap/slapd.confcp /usr/share/openldap-servers/DB_CONFIG.example /var/lib/ldap/DB_CONFIGmv /etc/openldap/slapd.d,.bak然后通过vi修改slapd.conf,步骤如下：1. 设置目录树的后缀找到语句：suffix dc=entstudy,dc=com将其改为：suffix dc=entstudy,dc=com2该语句设置LDAP管理员的DN找到语句：rootdn cn=manager,dc=entstudy,dc=com将其改为：rootdn cn=admin,dc=entstudy,dc=com3设置LDAP管理员的口令通过# ldappasswd命令生成加密密码，并记录下加密后的密码rootlocalhost # slappasswd New password: #输入密码123456Re-enter new password: #重新输入123456SSHAb1JQdC0KSh7mz0Y3zhfxFR96fT3BVBnm#加密后的密码，复制这串字符找到语句：rootpw secret将其改为：rootpw SSHAb1JQdC0KSh7mz0Y3zhfxFR96fT3BVBnm口令也可以用明文配置文件修改之后分下权限chown ldap.ldap /etc/openldap/*chown ldap.ldap /var/lib/ldap/*然后开启服务 service slapd start三、安装配置migrationtools# yum -y install migrationtools进入migrationtool配置目录# cd /usr/share/migrationtools/首先编辑migrate_common.ph修改如下两项# vi migrate_common.ph.# Default DNS domain$DEFAULT_MAIL_DOMAIN = ;# Default base$DEFAULT_BASE = dc=entstudy,dc=com;.添加测试用户#useradd test01 #passwd test01 下面利用pl脚本将/etc/passwd 和/etc/shadow生成LDAP能读懂的文件格式，保存在/tmp/下# ./migrate_base.pl /tmp/example.ldif# ./migrate_passwd.pl /etc/passwd example.ldif# ./migrate_group.pl /etc/group example.ldif过程若无报错，则已经将默认用户包括test01导入LDAP。导入数据/usr/bin/ldapadd -x -W -D cn=Manager,dc=example,dc=com -f /tmp/example.ldif提示输入密码 既是admin的密码重启slapd完成配置# service slapd restart四、安装openvpn-auth-ldap1、安装openvpn-auth-ldap# yum install openvpn-auth-ldap2、配置文件修改配置文件：/etc/openvpn/auth/ldap.conf 使用yum安装的，会在 /usr/share/doc/openvpn-auth-ldap-2.0.3 存在相应文件，如果是自行安装的，在 /usr/local/etc/auth-ldap.conf 。实例：（根据实际情况修改）rootlocalhost # egrep -v #|$|s*# /etc/openvpn/auth/ldap.conf URL ldap:/8BindDN cn=admin,dc=vpn,dc=entstudy,dc=com Password 123456 Timeout 15 BaseDN ou=People,dc=entstudy,dc=com SearchFilter (uid=%u) RequireGroup false BaseDN ou=Groups,dc=entstudy,dc=com SearchFilter (|(cn=developers)(cn=artists) MemberAttribute uniqueMember 修改完后，重启openvpn，openldap服务。四、客户端设置在Windows客户端使用帐号test01测试是否可以正常登录openvpn。1、 安装Installer (64-bit), Windows XP_openvpn-install-2.3.7-I001-x86_64客户端软件，2、 编辑客户端配置文件clientdev tunproto udpremote 9resolv-retry infinitenobindpersist-keypersist-tuncipher AES-128-CBCca ca.crt#cert test01.crt#key test01.keyns-cert-type servertls-auth ta.key 1auth-user-passcomp-lzoverb 3 3、 下载服务端证书，ca.crt ta.key放到openvpn客户端配置文件目录下，打开客户端连接，输入ldap账户test01和密码，能正常连接即可。五、安装phpldapadmin1、安装环境yum install httpd php php-bcmath php-gd php-mbstring php-xml php-ldap2、安装phpldapadminyum -y install