与Active Directory集成的OpenVPN

我更喜欢使用OpenVPN进行PAMvalidation（使用LDAP或Kerberos），因为这是最灵活的解决scheme。 我有一个印象，OpenVPN提供的LDAP插件是一个肮脏的临时解决scheme – 没有什么比PAM的LDAP或Kerberos插件。 我不时有问题，拒绝访问正确的用户凭据，重试解决了这个问题。 我目前的（生产）设置validation对PAM。 PAM栈顶部有Kerberos（pam_krb5）用于OpenVPNvalidation。 近100个用户每天使用。 您可以使用PAM（多重身份validation机制，多个来源等等）做很多事情。

使用开源版本，您可以使用“auth-user-pass-verify”选项编写自己的身份validation脚本。

我从来没有把它投入到生产中，但是我一起做了一个工作脚本，用来对照我的目录对用户进行身份validation。

另一个选项是openvpn-auth-ldap插件。

我们需要对我们的openvn安装进行AD身份validation（哪个组/ OU集成），并发现最简单的就是使用使用Windows Internetvalidation服务的radius插件（即win2003 radius）

而不是auth-ldap不能正常工作，只是半径集成最终让我们更容易工作（YMMV）

为什么它的价值，事后发现：商业产品 – openvpn – AS（或openvpn.net，因为你已经提到它） – 开箱即用，无论是radius和LDAP身份validation，许可证费用是非常低 – 与并发连接而不是命名用户（$ 250为50并发连接与较小的捆绑可用）。 而且，用户的携带也很好，可以使现有客户的新用户和迁移相对无痛苦。

我已经实现了这样的解决scheme：

OpnVPNClient —> OpenVPNServeur +插件半径—> Windows2003SRV（IAS + AD）

它工作正常！

你可以通过search“blog laurent besson”find它…

这篇文章是从很多人做的，别忘了:)

我想我唯一的问题就是为什么在MS有一个完全可以接受的vpn解决scheme的时候处理开放VPN。当然，这取决于你的情况，但是我的上帝很容易实现。