У меня есть сервер OpenVPN, который аутентифицируется в одном домене AD.
Вот мой auth-ldap.conf , который используется с OpenVPN
<LDAP>
URL ldap://ad1.test.company:389,ldap://ad2.test.company:389
BindDN "CN=openvpnauth,CN=Users,DC=test,DC=company"
Password "A!thP123w00rd"
Timeout 15
TLSEnable no
FollowReferrals yes
</LDAP>
<Authorization>
BaseDN "DC=test,DC=company"
SearchFilter "(sAMAccountName=%u)"
RequireGroup true
<Group>
BaseDN "CN=Users,DC=test,DC=company"
SearchFilter "(cn=VPN Users)"
MemberAttribute "member"
</Group>
Итак, вышеупомянутое аутентифицирует пользователей по AD и работает, как задумано.
Он ищет группу пользователей «Пользователи VPN "в пределах " CN = Пользователи, DC = тест, DC = компания "
(по умолчанию" / Users 'OU)
Если у пользователя настроена правильная группа Пользователи VPN
, то он позволяет пользователю войти!
Я хочу добавить пользователя в другое отдельное подразделение, например: Team1 / Desktop-users / Standard users может быть моим новым OU с пользователями в нем. Я хочу разрешить пользователям в этом OU, а также в исходном.
Неужели это так же просто, как добавить еще один объект
в конфигурацию?
Это сработало:
<Group>
BaseDN "DC=test,DC=company"
SearchFilter "(cn=VPN Users)"
MemberAttribute "member"
</Group>
Вы можете изменить базовое DN на корневой домен, например dc = domian, dc-com это будет охватывать все OU в домене и может потребовать больше времени для поиска пользователя / группы
Лучше всего использовать соответствующее OU или родительское OU для выполнения эффективного поиска
Чтобы добавить больше групп в конфигурацию, просто введите:
SearchFilter "(|(cn=VPN Users)(cn=other group))"