Database utenti#
NethSecurity introduce il supporto per due tipi di database utenti: un database locale e un database LDAP remoto, migliorando le capacità di gestione degli utenti. Gli utenti presenti nei database possono essere utilizzati per le connessioni VPN, inclusa la OpenVPN Road Warrior.
Solo gli utenti con una password possono connettersi alla VPN autenticandosi con nome utente e password. Gli utenti senza password possono connettersi alla VPN autenticandosi tramite certificato o altri metodi di autenticazione.
Database locale#
Il database utenti locale è una componente intrinseca del firewall, è disponibile di default e non richiede alcuna configurazione aggiuntiva. Funziona come un sistema di gestione utenti integrato, consentendo agli amministratori di creare e gestire utenti direttamente sul firewall. Si integra inoltre perfettamente con i servizi VPN, in particolare con il server OpenVPN Road Warrior.
Per creare un nuovo utente, fare clic sul pulsante Aggiungi utente per avviare la procedura. Durante la configurazione di un utente locale, è necessario compilare tutti i seguenti campi:
Nome utente: specifica il nome utente desiderato.Nome visualizzato: specifica il nome visualizzato dell’utente. Questo campo è facoltativo.Password utente: specifica la password dell’utente. Questo è richiesto solo se la VPN è configurata per utilizzare l’autenticazione tramite password.Conferma password: specifica la password dell’utente; assicurarsi che la password corrisponda a quella inserita nel campo precedente.
Il database utenti locale è implementato come file di configurazione UCI. Le password degli utenti locali sono memorizzate nel formato Unix passwd, garantendo compatibilità e sicurezza nel database utenti locale.
Agli utenti presenti nel database locale possono essere concessi privilegi amministrativi sull’interfaccia web abilitando l’opzione Utente amministratore; l’utente deve avere una password impostata. Fare riferimento alla sezione Utenti amministrativi.
Database remoti#
Subscription richiesta
Questa funzionalità è disponibile solo se il firewall dispone di una subscription valida.
L’amministratore può estendere le funzionalità del firewall aggiungendo nuovi database remoti. I database remoti consentono al firewall di autenticare gli utenti tramite un server LDAP esterno, come Active Directory o OpenLDAP.
A differenza degli utenti locali, gli utenti presenti in database remoti devono essere gestiti direttamente sul server LDAP di origine. Qualsiasi aggiunta, eliminazione o modifica degli account utente deve essere eseguita sul server LDAP stesso, poiché queste modifiche saranno riflesse nella pagina di configurazione del firewall ma non potranno essere effettuate dall’interfaccia del firewall.
Si noti inoltre che, se il database remoto è offline, l’autenticazione VPN non andrà a buon fine. È fondamentale assicurarsi che il database remoto sia online e accessibile per garantire una corretta autenticazione degli utenti tramite il servizio VPN.
Quando si configura un database remoto, fare clic sul pulsante Aggiungi database remoto e compilare tutti i seguenti campi:
LDAP URI: specifica l’Uniform Resource Identifier (URI) LDAP, includendo l’indirizzo del server e la porta (ad esempio,ldap://example.com:389).Tipo: specifica il tipo di server LDAP. Le opzioni disponibili sonoActive DirectoryeOpenLDAP. Se viene selezionato OpenLDAP, il server remoto deve rispettare lo schema RFC 2307.Base DN: specifica il Base Distinguished Name (DN) di LDAP, che rappresenta il punto di partenza per le ricerche nella directory LDAP (ad es.dc=example,dc=com).Utente DN: specifica il Distinguished Name (DN) dell’utente LDAP. Se non presente, il valore predefinito è uguale a base_dn (ad es.cn=users,dc=example,dc=com).Campo d'attributo utente: specifica l’attributo utente utilizzato per identificare l’utente; questa opzione viene utilizzata dal server OpenVPN road warrior per comporre il bind DN dell’utente. Dovrebbe esserecnper Active Directory oppureuidper OpenLDAP.Questo campo viene utilizzato per autenticare gli utenti nel server OpenVPN road warrior. Il processo di autenticazione si basa su un’operazione di bind LDAP che utilizza il campo attributo utente per comporre il bind DN dell’utente con il DN dell’utente. Esempio: dato un utente chiamato
jdoenella directory OpenLDAP, il bind DN dell’utente viene composto comeuid=jdoe,ou=People,dc=directory,dc=nh.Nome utente: specifica l’attributo utente che contiene il nome completo dell’utente, come John Doe. Di solito ècnper OpenLDAP edisplayNameper Active Directory.User bind DN personalizzato: se questo campo è impostato, sovrascrive il user bind DN calcolato utilizzato per autenticare gli utenti nel server OpenVPN road warrior. Il campo può contenere un segnaposto%uche viene sostituito con il nome utente durante il processo di autenticazione. Utilizzare questa impostazione se non si sa se il campo CN dell’utente contiene il nome completo dell’utente, comeJohn Doe, o il nome utente, comejdoe. Se il server remoto è un server Active Directory, è possibile utilizzare uno dei seguenti valori:%u@domain.local: dove domain.local è il nome di dominio del server Active Directory; all’interno del client OpenVPN, per autenticare l’utente utilizzare solo il nome utente comejdoeDOMAIN\%u: dove DOMAIN è il realm del server Active Directory; all’interno del client OpenVPN, per autenticare l’utente utilizzare solo il nome utente comejdoe
Se il server remoto è un OpenLDAP è possibile lasciare questo campo vuoto oppure specificarlo come
uid=%u,dc=directory,dc=nh.Bind DN: specifica il Distinguished Name (DN) di Bind LDAP, che rappresenta l’utente utilizzato per effettuare il bind al server LDAP. Per un server OpenLDAP, di solito è qualcosa comeuid=ldapservice,dc=directory,dc=nh, mentre per un server Active Directory, di solito è qualcosa comeldapservice@example.comoppurecn=ldapservice,cn=Users,dc=example,dc=com.Password di bind: specifica la password dell’utente utilizzato per effettuare il bind al server LDAP.StartTLS: abilita StartTLS per la comunicazione sicura con il server LDAP; dovrebbe essere disabilitato se l’URI LDAP utilizza già lo schemaldaps://.Verifica certificato TLS: determina se abilitare o disabilitare la validazione del certificato; deve essere disabilitata se il server LDAP utilizza un certificato autofirmato.
Configurazioni consigliate#
Le seguenti configurazioni sono suggerite per i server LDAP più comuni. Durante la configurazione del database remoto:
assicurarsi che il server LDAP sia raggiungibile dal firewall. Se l’URI LDAP contiene un nome host, verificare che il nome host sia risolvibile
sostituire i valori di esempio con i valori effettivi del server LDAP
per Active Directory, si consiglia di utilizzare
User bind DN personalizzatoper specificare come il server OpenVPN deve autenticare l’utente
OpenLDAP (RFC 2307)#
È possibile accedere a NethServer 7 OpenLDAP senza autenticazione:
URI LDAP:
ldap://ns7ldap.nethserver.orgTipo:
OpenLDAPBase DN:
dc=directory,dc=nhDN utente:
ou=People,dc=directory,dc=nhCampo attributo utente:
uidCampo nome visualizzato utente:
cn
Se si desidera utilizzare l’autenticazione inserendo Bind DN e Bind Password, ricordarsi di abilitare StartTLS.
Active Directory#
Per accedere a NethServer 7 Samba Active Directory o Windows Server 2012 Active Directory, utilizzare la seguente configurazione:
URI LDAP:
ldap://dcserver.ad.example.comTipo:
Active DirectoryBase DN:
dc=example,dc=comDN utente:
cn=Users,dc=example,dc=comCampo attributo utente:
sAMAccountNameCampo nome visualizzato utente:
displayNameDN di binding utente personalizzato:
%u@example.comBind DN:
<user>@exampl.comoppurecn=<user>,cn=Users,dc=example,dc=com, dove<user>è il nome utente dell’utente utilizzato per effettuare il bind al server LDAPPassword di Bind:
<password>, dove<password>è la password dell’utente inserito nel campo Bind DN
L’opzione StartTLS dovrebbe essere abilitata per NethServer 7 Samba Active Directory, mentre di solito dovrebbe essere disabilitata per Windows Server 2012 Active Directory.