HELP FILE

Configuratie OpenVPN Community Edition voor het LastPass Universal Proxy RADIUS-protocol

Dit is een stapsgewijze beschrijving van het configureren van OpenVPN Community Edition VPN voor LastPass Universal Proxy met het RADIUS-protocol, om LastPass MFA in te stellen als secundaire verificatiemethode. De volgende stappen bevatten de instellingen die betrekking hebben op de Universal Proxy.

Opmerking: OpenVPN Community Edition heeft geen grafische gebruikersinterface (GUI). De instellingen worden uitgevoerd met de opdrachtregelinterface (CLI).
Opmerking: Aangezien OpenVPN Community Edition de inkomende verificatie-verzoeken in één enkele thread verwerkt, kan één client zich tegelijk aanmelden. Daarom kan een langere wachttijd te verwachten zijn.
  1. Installeer de OpenVPN RADIUS-plugin openvpn-auth-radius, op uw server om de vereiste bibliotheken en configuratiebestanden te krijgen.

    Resultaat: Het configuratiebestand voor OpenVPN RADIUS-verificatie, radiusplugin.cnf worden geïnstalleerd.

  2. Configureer de OpenVPN-server voor RADIUS-verificatie met behulp van het bestand radiusplugin.cnf. Stel het volgende in:

    NAS-identifier
    OpenVPN
    Service-Type
    5
    Framed-Protocol
    1
    NAS-Port-Type
    5
    NAS-IP-Address
    OpenVPN Community Edition IP-adres.
    OpenVPNConfig
    Pad naar het OpenVPN-configuratiebestand.
    overwriteccfiles
    true
    acctport
    1813
    authport
    1812
    naam
    IP-adres of DNS-naam van de Universal Proxy.
    retry
    1
    wait
    61
    sharedsecret
    Gedeeld geheim voor RADIUS dat is geconfigureerd in LastPass Universal Proxy.

    Voorbeeld:

    NAS-Identifier=OpenVpn Service-Type=5 Framed-Protocol=1 NAS-Port-Type=5 NAS-IP-Address= 
                 
                   OpenVPNConfig=/etc/openvpn/server/server.conf overwriteccfiles=true server { acctport=1813 authport=1812 name= 
                  
                    retry=1 # How long should the plugin wait for a response? wait=61 sharedsecret=********* } 
                   
                 

  3. Voeg het volgende toe aan het configuratiebestand voor OpenVPN-server server.conf:
    1. Pad naar het configuratiebestand, om de kenmerken te lezen en deze te gebruiken om gebruikers te verifiëren. Bijvoorbeeld:

      plugin /usr/lib/openvpn/openvpn-radius-ldap.so /etc/openvpn/radiusplugin.cnf login

    2. Afdwingen om gebruikersnaam en wachtwoord te gebruiken voor verificatie:

      username-as-common-name

    3. De certificaat-verificatie aan de client-zijde uitschakelen:

      client-cert-not-required

    Voorbeeld:

    port 1194 proto tcp dev tun ca ca.crt cert server.crt key server.key # This file should be kept secret dh dh.pem plugin /usr/lib/openvpn/openvpn-auth-radius.so /etc/openvpn/radiusplugin.cnf login server 10.8.0.0 255.255.255.0 ifconfig-pool-persist /var/log/openvpn/ipp.txt username-as-common-name keepalive 10 120 client-cert-not-required cipher AES-256-GCM user nobody group nogroup persist-key persist-tun status /var/log/openvpn/openvpn-status.log log /var/log/openvpn/openvpn.log log-append /var/log/openvpn/openvpn.log verb 6 explicit-exit-notify 0

  4. Schakel verificatie met gebruikersnamen en wachtwoorden in door auth-user-pass toe te voegen:

    client
    dev tun
    proto tcp
    remote 20.67.97.220 1194
    resolv-retry infinite
    nobind
    ;user nobody
    ;group nogroup
    persist-key
    persist-tun
    ;remote-cert-tls server
    client-cert-not-required
    username-as-common-name
    ;tls-auth ta.key 1
    auth-user-pass
    cipher AES-256-GCM
    verb 6
    ;mute 20
    
                
                
                  -----BEGIN CERTIFICATE----- *********** -----END CERTIFICATE----- 
                

  5. Start de OpenVPN-server opnieuw om de wijzigingen toe te passen.
Het OpenVPN Community Edition-VPN is geconfigureerd.