CentOS6.6 OpenVPN 服务器结合AD域认证

一、OpenVPN简介

OpenVPN是一个用于创建虚拟专用网络加密通道的软件包,最早由James Yonan编写。OpenVPN允许创建的VPN使用公开密钥、数字证书、或者用户名/密码来进行身份验证。

它大量使用了OpenSSL加密库中的SSLv3/TLSv1协议函数库。

目前OpenVPN能在Solaris、Linux、OpenBSD、FreeBSD、NetBSD、Mac OS X与Windows 2000/XP/Vista/7/8/8.1以及Android和iOS上运行,并包含了许多安全性的功能。它并不是一个基于Web的VPN软件,也不与IPsec及其他VPN软件包兼容。

二、原理

OpenVpn的技术核心是虚拟网卡,其次是SSL协议实现,由于SSL协议在其它的词条中介绍的比较清楚了,这里重点对虚拟网卡及其在OpenVpn的中的工作机理进行介绍:

虚拟网卡是使用网络底层编程技术实现的一个驱动软件,安装后在主机上多出现一个网卡,可以像其它网卡一样进行配置。服务程序可以在应用层打开虚拟网卡,如果应用软件(如IE)向虚拟网卡发送数据,则服务程序可以读取到该数据,如果服务程序写合适的数据到虚拟网卡,应用软件也可以接收得到。虚拟网卡在很多的操作系统下都有相应的实现,这也是OpenVpn能够跨平台一个很重要的理由。

在OpenVpn中,如果用户访问一个远程的虚拟地址(属于虚拟网卡配用的地址系列,区别于真实地址),则操作系统会通过路由机制将数据包(TUN模式)或数据帧(TAP模式)发送到虚拟网卡上,服务程序接收该数据并进行相应的处理后,通过SOCKET从外网上发提交去,远程服务程序通过SOCKET从外网上接收数据,并进行相应的处理后,发送给虚拟网卡,则应用软件可以接收到,完成了一个单向传输的过程,反之亦然。

三、加密

OpenVPN使用OpenSSL库来加密数据与控制信息。这意味着,它能够使用任何OpenSSL支持的算法。它提供了可选的数据包HMAC功能以提高连接的安全性。此外,OpenSSL的硬件加速也能提高它的性能。

四、身份验证

OpenVPN提供了多种身份验证方式,用以确认连接双方的身份,包括:

 预享私钥

    第三方证书

    用户名/密码组合

预享密钥最为简单,但同时它只能用于创建点对点的VPN;基于PKI的第三方证书提供了最完善的功能,但是需要额外维护一个PKI证书系统。OpenVPN2.0后引入了用户名/口令组合的身份验证方式,它可以省略客户端证书,但是仍需要一份服务器证书用作加密。

五、功能与端口

OpenVPN所有的通信都基于一个单一的IP端口,默认且推荐使用UDP协议通讯,同时也支持TCP。IANA(Internet Assigned Numbers Authority)指定给OpenVPN的官方端口为1194。OpenVPN 2.0以后版本每个进程可以同时管理数个并发的隧道。OpenVPN使用通用网络协议(TCP与UDP)的特点使它成为IPsec等协议的理想替代,尤其是在ISP(Internet service provider)过滤某些特定VPN协议的情况下。

OpenVPN连接能通过大多数的代理服务器,并且能够在NAT的环境中很好地工作。

服务端具有向客户端“推送”某些网络配置信息的功能,这些信息包括:IP地址、路由设置等。

OpenVPN提供了两种虚拟网络接口:通用Tun/Tap驱动,通过它们,可以创建三层IP隧道,或者虚拟二层以太网,后者可以传送任何类型的二层以太网络数据。传送的数据可通过LZO算法压缩。

六、安全

OpenVPN与生俱来便具备了许多安全特性:它在用户空间运行,无须对内核及网络协议栈作修改;初始完毕后以chroot方式运行,放弃root权限;使用mlockall以防止敏感数据交换到磁盘。

OpenVPN通过PKCS#11支持硬件加密标识,如智能卡。

七、对比

OpenVPN,能实现二/三层的基于隧道的VPN。

stunnel,使用SSL向任何单一端口的TCP服务提供安全保护。

八、OpenVPN实现LDAP认证方法

网上关于OpenVPN服务器部署的部署太多了,但都是相对来说比较旧或比较简单的一些方法,如果您需要实现与公司AD域服务器进行联动认证,那您可能需要继续往下看。OpenVPN实现LDAP认证的方法很多,用户可以根据自己的需求来选择,下面我们简单说一下:

1:OpenVPN-pam-ldap

通过pam的ldap验证,来实现,openvpn是支持pam的验证的。通过pam,您可以实现mysql或者ldap的验证,这个pam验证,我们在Vsftpd的部署的时候可以采用这种方法实现,实现方法简单可靠。

2:OpenVPN-Radius-ldap

通过Radius,也是可以实现ldap的验证,不过您需要在部署Radius服务器,通过它可以实现mysql或者ldap的验证。

3:OpenVPN-auth-ldap

这应该是最简单的方式,直接通过一个插件就实现OpenVPN 采用ldap验证,在第一次配置的时候您可能需要用心去研究一下。

时间: 2024-10-24 20:22:06

CentOS6.6 OpenVPN 服务器结合AD域认证的相关文章

Jenkins配置AD域认证

Jenkins配置AD域认证 #检测域控地址ping youad.com指向的IP #如果不是实际域控ip地址,则修改hosts vi /etc/hosts #192.168.100.100替换为实际域控ip 192.168.100.100 youad.com 系统管理 --> 全局安全配置 Active Directory plugin插件 #Active Directory配置 Domain Name:youad.com Domain controller:192.168.100.100:3

CentOS6搭建OpenVPN服务器实践

OpenVPN是一个用于创建虚拟专用网络(Virtual Private Network)加密通道的免费开源软件.使用OpenVPN可以方便地在家庭.办公场所.住宿酒店等不同网络访问场所之间搭建类似于局域网的专用网络通道. 使用OpenVPN配合特定的代理服务器,可用于访问Youtube.FaceBook.Twitter等受限网站,也可用于突破公司的网络限制. 一.服务器端安装及配置 服务器环境:干净的CentOS6.3 64位系统 内网IP:10.143.80.116 外网IP:203.195

vmware esx集成AD域认证

vmware esx越来越普遍了,但其身份认证是个大问题,让其和AD也就是ladp整合进行身份认证就显得尤为重要了.找了下网上的文章大多很复杂,需要在命令行里操作,这里分享一个通过图形界面完成的方法,非常简单. 遗留问题: 依然可以通过本地帐号登录. 过程: 客户端登录–在ESX主机里–配置–身份验证服务–属性–加入域 然后在ESX主机里或者guest机里点右键–添加权限–在AD域里选择–授予administrator权限即可,当然了,也可以授予受限的权限 再分享一下我老师大神的人工智能教程吧.

openvpn部署之部署基于AD域认证

1.添加yum源 #epel repo installtion yum -y install epel-release 2.安装openvpn yum install openvpn -y yum -y install openssl openssl-devel -y  yum -y install lzo lzo-devel  -y  yum install -y libgcrypt libgpg-error libgcrypt-devel 3.安装openvpn认证插件 yum instal

解决AD域认证问题—“未知的身份验证机制”

场景: Ad认证登录系统,之前正常.不知服务器调了什么,导致无法登录.提示信息如标题. 解决方案: DirectoryEntry adRoot = new DirectoryEntry("LDAP://" + domain, userName, password, AuthenticationTypes.Secure); 去掉用户名后的@域名 部分. 并将后台服务(windows服务)的登录方式改为 有管理员权限的用户.如图: 也有机器,直接将登录方式改为 上面的本地系统模式后正常.估

当AD域与DNS不再一台服务器上时配置

当DNS服务器与AD域在一起时很容易设置但当DNS与AD域不在一起时就不太容易做,具体应该这样做:准备两台全新的Windows server2008服务器.一. 1.安装DNS服务器:??2.安装DNS后点击 开始>管理工具>DNS:3.右击 正向查找区域 然后新建区域为主要区域:4.区域名称与域名一样取名17w1.com,安装成功后右击点击17w1.com,?![](https://s1.51cto.com/images/blog/201906/10/0b8cfc26fd5ea133d498

[win]AD域组策略wifi自动配置

http://wenku.baidu.com/link?url=MC950wliAZNeVUJ2M6Y1VTi5faqo7kG374fyBjW57r0qyLJkBZLg5ypiql4RFywQ8q7yfdjr5nQMdvolCvNv6RBkogAmcibH0QHAr1NXklG 802.1x认证AD域自动下发客户端配置指导书 这篇文档不再描述radius 服务器和AD 域的搭建过程,只说明通过域下发802.1X客户端配置(即对域的配置过程) 适用的服务器:Win Server2008 radiu

CentOS7.4+FreeRadius+ldap(Windows AD)认证 搭建radius服务

(一)简介freeradius一般用来进行账户认证管理,记账管理,常见的电信运营商的宽带账户,上网账户管理,记账,都是使用的radius服务器进行鉴权记账的.Freeradius包含一个radius服务器和radius-client,可以对支持radius协议的网络设备进行鉴权记账. ------百度百科 (二)安装配置服务 [[email protected] ~]# yum install freeradius freeradius-ldap freeradius-utils -y [[em

windows server 2008 配置安装AD 域控制器

工作需要,搞起AD域来,具体配置如下: 配置环境 Windows版本:Windows Server 2008 R2 Enterprise Service Pack 1 系统类型: 64 位操作系统 配置DNS服务器 这一步不是必须的,在安装Active Directory 域服务时可以同时装上DNS服务器. Active Directory 域服务安装向导-->其它域控制服务器,勾上DNS服务器也有同样效果, 鉴于服务器配置容易出现一些未知小错误,还是提前安装上比较省心^_^! 开始菜单-->