OpenVPN con autenticazione LDAP su dominio Windows 2003

Oggi proveremo a mettere insieme quanto appreso nei due precedenti post per creare qualcosa di molto professionale: una connessione OpenVPN con autenticazione tramite Domain Controller Windows 2003.

Questa funzionalità, spesso molto richiesta, è prerogativa dei firewall più costosi e blasonati mentre noi vedremo come sia possibile realizzare tutto con un firewall opensource e senza impazzire in configurazioni impossibili.

Per prima cosa leggete attentamente il post Autenticazione LDAP/AD in pfSense 2.0. Dopo aver letto e configurato correttamente l'autenticazione su dominio windows, possiamo procedere con il passo successivo.

Poi procediamo leggendo attentamente il post Configurare OpenVPN Server su pfSense. Dopo aver letto e configurato correttamente il server OpenVPN, possiamo procedere ed apportare alcune semplici modifiche alla configurazione affinchè venga aggiunta l'autenticazione con utenti di AD.

Portarsi nel menù VPN > OpenVPN > Server

Cliccare su Edit Server

Modificare i seguenti campi:

Server Mode: Remote Access (SSL/TSL + User Auth)

Backend for authentication: Selezionare la configurazione LDAP creata precedentemente

Cliccare su Save

A questo punto il nostro server OpenVPN è pronta per richiedere username e password quando tenteremo una connessione.

La configurazione precedentemente scaricata non è più valida quindi dovremo procedere nuovamente al download del pacchetto.

Selezioniamo il menù VPN > OpenVPN > Client Export

A questo punto non ci resta che scaricare la configurazione corrispondente al nostro certificato client selezionando una delle 5 possibili opzioni riportate a destra.

Installato il pacchetto possiamo provare la connessione e, a differenza di quanto accadeva in precedenza, all'avvio della connessione ci verrà richiesto di immettere username e password. Occorre fare attenzione che a differenza di quel che accade normalmente, occorre inserire la username senza indicare il dominio quindo non sono valide forme del tipo dominio\username o username@dominio.

A questo punto il nostro pfSense è pronto per accettare connessioni OpenVPN e ad autenticarle sfruttando i domain controller della nostra rete Microsoft.