OpenVPN ist eine kostengünstige Lösung für den heimischen VPN Zugang. Das Setup unter Windows Server wurde bereits hier beschrieben.
Leider vermisst man beim OpenVPN den direkten Active Directory Authentisierungs-Mechanismus. Dieser Blog-Eintrag beschreibt, wie das OpenVPNADAuth Plugin angewendet und damit ein LDAP Zugriff ermöglicht wird.
Installation
Die Installation von OpenVPN gestaltet sich als einfach. Die Konfiguration auf einem Windows Server 2012 allerdings als zäh; dieser Blog-Eintrag beschreibt die einzelnen Schritte.
Konfiguration OpenVPNAdAuth
Nachdem OpenVPN nun installiert und konfiguriert wurde, gilt es OpenVPNADAuth herunter zu laden und direkt in den OpenVPN Config Ordner zu extrahieren. Die OpenVPN Server config wird wie folgt angepasst (wobei [Config Source Directory] dem DOS-Pfad des OpenVPN Config Ordners entspricht):
auth-user-pass-verify [Config Source Directory]OpenVPNADAuth.exe via-file
script-security 3 system
Anschliessend ist es nötig, das OpenVPNADAuth.exe.config File anzupassen:
- AdController
Dies entspricht dem Host-Name des Active Directory Controllers. - AdDomain
Entspricht der Domain des Benutzers, welcher sich authentisieren möchte (Authentication). - LdapPath
Entspricht dem Distinguished Name, unter welchem sich die Benutzer im AD befinden (Authentication). - Group
Entspricht der Gruppe mit den Benutzern, welche explizit VPN Zugriff haben (Authorization).
Mit diesen Einstellungen ist es bereits möglich, AD Benutzer übers VPN zu authentifizieren. Fürs Home-Office (oder Small Business) ist dies eine kostengünstige und effiziente Art eines VPN Access Points, welcher sogar von Mobile Devices wie iPhone / Android Phones einen AD-Zugriff ermöglicht.