Настройка аутентификации в OpenVPN через Active Directory в CentOS 7

[leschenko]

Вот эта строка:
bindpw P@ssw0rd
сводит на нет всю идею.

[varnav]

Пароль в конфиге в открытом виде? Увы, такое часто бывает. Но разве есть варианты сделать иначе?

[leschenko]

Да, проблема именно в этом. Если ли способ сделать это в Linux'е — не знаю. Не силен в этом направлении.
Когда-то писал свой кастыль для решения аналогичной задачи, но в среде Windows. Было написано приложение, которое принимало в качестве параметров имя домена, логин и пароль. Сервис OpenVPN использовал это приложение для аутентификации. Приложение лезло в AD. Компьютер был включен в домен. А сам OpenVPN стартовал от имени пользователя, которому можно было читать все необходимое из AD. Пароль администратора в открытом виде нигде не писался.

[lovecraft]

Ну, во-первых, если на файл выставлены нужные права, настроен Selinux и т.п., то особой опасности нет. Если же злоумышленник получил права администратора, то он и под Windows может стащить хэш NTLM.

Вроде в WIndows 10 хранилище SAM решили защитить с помощью технологии аппаратной виртуализации. Не знаю, будет ли толк.

[MagicGTS]

Если не ошибаюсь, то в /etc/nslcd.conf указывается учетка, которая имеет право просмотра ldap (считай любой пользователь). А потом, когда OpenVPN запрашивает пароль, у ldap спрашивают, корректна ли такая комбинация (от лица той самой учетки). Это абсолютно обычная практика. Иногда делают привязку к ldap проверяемой учеткой.

[varnav]

Совершенно верно. Почему-то бытует заблуждение что для чтения всей AD через LDAP нужны права больше чем «Пользователь домена», но это не так. Учётка в примере — простой пользователь.

[lovecraft]

Ага, мало того, можно завести пользователя, которому можно будет только перечислять пользователей и группы в LDAP, а больше — ничего.

[leschenko]

Тогда проблем нет. Прошу прощения. Мне показалось что это кто-то более важный чем простой пользователь.