<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="HOEnZb"><div class="h5"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><br>
</blockquote></div></div>
It is simple to configure OpenVPN with authentication against FreeIPA in<br>
Fedora 21, all the heavy lifting is done by SSSD:<br></blockquote><div><br></div><div>I have to say that this sssd / pam method is working very very well.</div><div><br></div><div>I do however need to get my head around radius. Something for a rainy sunday I think :).</div><div><br></div><div><br></div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<br>
# grep plugin /etc/openvpn/server.conf<br>
plugin /usr/lib64/openvpn/plugins/<u></u>openvpn-plugin-auth-pam.so "openvpn login USERNAME password PASSWORD"<br>
<br>
# LANG=C ls -l /etc/pam.d/openvpn lrwxrwxrwx. 1 root root 11 Apr  1 10:55 /etc/pam.d/openvpn -> system-auth<br>
<br>
# LANG=C ipa user-show vpnuser<br>
 User login: vpnuser<br>
 First name: VPN<br>
 Last name: TestUser<br>
 Home directory: /home/vpnuser<br>
 Login shell: /bin/sh<br>
 Email address: <a href="mailto:vpnuser@example.com" target="_blank">vpnuser@example.com</a><br>
 UID: 1792600005<br>
 GID: 1792600005<br>
 Account disabled: False<br>
 User authentication types: otp<br>
 Password: True<br>
 Member of groups: ipausers<br>
 Kerberos keys available: True<br>
<br>
Apr 01 11:24:50 <a href="http://ipa.example.com" target="_blank">ipa.example.com</a> openvpn[29723]: AUTH-PAM: BACKGROUND: received command code: 0<br>
Apr 01 11:24:50 <a href="http://ipa.example.com" target="_blank">ipa.example.com</a> openvpn[29723]: AUTH-PAM: BACKGROUND: USER: vpnuser<br>
Apr 01 11:24:50 <a href="http://ipa.example.com" target="_blank">ipa.example.com</a> openvpn[29723]: AUTH-PAM: BACKGROUND: my_conv[0] query='login:' style=2<br>
Apr 01 11:24:50 <a href="http://ipa.example.com" target="_blank">ipa.example.com</a> openvpn[29723]: AUTH-PAM: BACKGROUND: name match found, query/match-string ['login:', 'login'] = 'USERNAME'<br>
Apr 01 11:24:50 <a href="http://ipa.example.com" target="_blank">ipa.example.com</a> openvpn[29723]: AUTH-PAM: BACKGROUND: my_conv[0] query='Password: ' style=1<br>
Apr 01 11:24:50 <a href="http://ipa.example.com" target="_blank">ipa.example.com</a> openvpn[29723]: AUTH-PAM: BACKGROUND: name match found, query/match-string ['Password: ', 'password'] = 'PASSWORD'<br>
Apr 01 11:24:50 <a href="http://ipa.example.com" target="_blank">ipa.example.com</a> openvpn[29724]: pam_unix(openvpn:auth): authentication failure; logname= uid=0 euid=0 tty= ruser= rhost= user=vpnuser<br>
Apr 01 11:24:53 <a href="http://ipa.example.com" target="_blank">ipa.example.com</a> openvpn[29724]: pam_sss(openvpn:auth): authentication success; logname= uid=0 euid=0 tty= ruser= rhost= user=vpnuser<br>
Apr 01 11:24:55 <a href="http://ipa.example.com" target="_blank">ipa.example.com</a> openvpn[29732]: MY-IP_ADDRESS:50232 PLUGIN_CALL: POST /usr/lib64/openvpn/plugins/<a href="http://openvpn-plugin-auth-pam.so/PLUGIN_AUTH_USER_PASS_VERIFY" target="_blank">ope<u></u>nvpn-plugin-auth-pam.so/<u></u>PLUGIN_AUTH_USER_PASS_VERIFY</a> status=0<br>
Apr 01 11:24:55 <a href="http://ipa.example.com" target="_blank">ipa.example.com</a> openvpn[29732]: MY-IP-ADDRESS:50232 TLS: Username/Password authentication succeeded for username 'vpnuser'<span class="HOEnZb"><font color="#888888"><br>
<br>
<br>
-- <br>
/ Alexander Bokovoy<br>
<br>
-- <br>
Manage your subscription for the Freeipa-users mailing list:<br>
<a href="https://www.redhat.com/mailman/listinfo/freeipa-users" target="_blank">https://www.redhat.com/<u></u>mailman/listinfo/freeipa-users</a><br>
Go to <a href="http://freeipa.org" target="_blank">http://freeipa.org</a> for more info on the project<br>
</font></span></blockquote></div><br></div></div>