Мой пользователь проходит проверку подлинности через OpenVPN AS, используя проверку подлинности LDAP через FreeIPA.
Теперь я хочу ограничить OpenVPN, чтобы они принадлежали к определенной группе.
Я создал группу пользователей в FreeIPA и изменил OpenVPN, чтобы иметь «Дополнительное требование LDAP» «memberOf=CN=myGroup,CN=groups,CN=accounts,DC=mgmt,DC=company,DC=uk»
Но когда я пытаюсь пройти аутентификацию сейчас, мне отказывают в доступе с этой ошибкой в журналах openvpn:
2019-11-26T09:38:12+0000 [stdout#info] VPN Auth Failed: u"LDAP exception on ldaps://endpoint.free.ipa.internal/ (facility='search (u'cn=users,cn=accounts,dc=mgmt,dc=company,dc=uk', 2, u'(&(uid=myUser)(memberOf=CN=myGroup,CN=groups,CN=accounts,DC=mgmt,DC=company,DC=uk))')'): **user not found that meets specified requirements**: memberOf=CN=myGroup,CN=groups,CN=accounts,DC=mgmt,DC=company,DC=uk: auth/authldap:178,python2.7/threading:774,python2.7/threading:801,python2.7/threading:754,_threads/_threadworker:46,_threads/_team:190,python/threadpool:250,python/threadpool:266,python/context:122,python/context:85,auth/authldap:138,auth/authldap:178,util/error:67,util/error:48" [None]
Если я попробую (как я думаю) эквивалентный поиск LDAP из командной строки, он отлично работает:
ldapsearch -x -D "uid=admin,cn=users,cn=accounts,dc=mgmt,dc=company,dc=uk" -W -H ldap://localhost -b "cn=users,cn=accounts,dc=mgmt,dc=company,dc=uk" '(&(uid=myUser)(memberOf=cn=myGroup,cn=groups,cn=accounts,dc=mgmt,dc=company,dc=uk))'
Это возвращает пользователя и даже перечисляет его атрибуты memberOf:
...
memberOf: cn=ipausers,cn=groups,cn=accounts,dc=mgmt,dc=company,dc=uk
memberOf: cn=myGroup,cn=groups,cn=accounts,dc=mgmt,dc=company,dc=uk
...
Так что не знаю, что я сделал не так в OpenLDAP.
Я читал, что memberOf работает только задним числом, поэтому я удалил и снова добавил myUser в myGroup. Все еще не работает.
