VyOS 1.1.7でOpenVPNの認証にActive Directory(LDAP)を使用する場合、VyOSとしての機能だけでは実現できず、Debianのパッケージ等を入れてやる必要がある。 現時点ですでにVyOS側にOpenVPNでの諸設定(証明書認証等)はすでに済んでいる状態で、AD連携だけ追加するという前提で進めていく。 まず、以下のコマンドでDebianのリポジトリを登録、OpenVPNでLDAP連携を行うためのプラグインを導入する。
set system package repository squeeze components 'main contrib non-free'...仕事とかでActive Directoryとかをいじったりするのだが、Windows ServerってPowerShellをリモートから操作できるようにしてないと、RDPでつなげてコマンドを打たなくてならず、色々とまどろっこしい事が多い。 RDPで接続したとしても、GUIでリストの確認ができるのならまだ納得感はあるのだけど…。
で、やはりちょっと面倒だったりするので、UNIX環境からリモートで一覧を取得してやることにしたのだが、どうもLDAPで管理されている日付データというのが「1601/01/01 00:00:00からの経過時間を100ナノ秒単位」で表しているようで、そのままだと正直わけ...
Windows ServerでActive Directory Domain Contoller(以降AD DC)を構築した場合、最初から389番ポート経由でLDAP通信が行えるのだが、このままだと暗号化されていない(Active Directoryとして通信した場合はその手前で暗号化されているので問題ない)。 パケットキャプチャでLDAPのパスワードとかが丸見えになるので、これはよろしくない。 で、AD DCの場合だと最初からLDAPS(LDAP over SSL:636)がオープンになっているため、クライアント側でCA証明書がインポートされていれば、あとはドメインコントローラー側にサーバ証明書をインポートしてやればLDAPSでの通信が行えるようになる。
ローカルのActiveDirectoryサーバの情報をGSuite(GoogleApps)で利用する場合は、Googleの提供している「Google Cloud Directory Sync(GCDS)」をローカルADにインストールして利用することでアカウント情報の連携・同期が行えるようになる。 このとき注意したいのが、このツールではあくまでもアカウント情報の同期しかできないという点だ。 パスワード情報を同期する場合はこれとは別に「G Suite Password Sync(GSPS)」が必要になる。
まず、「Google Cloud Directory Sync(GCDS)」をリ...
忘れないようにいろいろ書き溜めてる備忘録
