文档章节

Centos搭建openvpn+mysql数据库认证

linuxprobe16
 linuxprobe16
发布于 2016/11/11 09:48
字数 883
阅读 12
收藏 0

服务器环境说明

1、系统版本

CentOS release 5.10 (Final) 64bits

2、软件版本

openvpn-2.3.6-1.el5
lzo-2.02-2.el5.1
lzo-devel-2.02-2.el5.1
easy-rsa-2.2.2-1.el5
pam-0.99.6.2-12.el5
pam-devel-0.99.6.2-12.el5

配置服务器安装前环境

1、打开ip转发功能

echo "net.ipv4.ip_forward = 1">> /etc/sysctl.conf
sysctl -p

2、安装依赖及所需软件包

yum install -y openvpn easy-rsa cyrus-saslcyrus-sasl-plain cyrus-sasl-devel cyrus-sasl-lib cyrus-sasl-gssapi pampam-devel
/etc/init.d/saslauthd restart

3、修改变量及生成证书

cd /usr/share/easy-rsa/2.0
vi vars                           #编辑vars文件,生成环境变量, vars里的参数根据自己需要改变
export KEY_COUNTRY="CN"           #定义你所在的国家,2个字符
export KEY_PROVINCE="ShangHai"    #你所在的省份
export KEY_CITY="ShangHai"        #你所在的城市
export KEY_ORG="xxx"              #你所在的组织
export KEY_EMAIL="xxx@qq.com"     #你的邮件地址,可以修改
source ./vars
 ./clean-all
 ./build-ca
 ./build-dh
 ./build-key-server server
 ./build-key client
 #tar -zcvf client.tar.gz keys/{ca.crt,client.crt,client.key} #windows客户端使用需下载到本地
mkdir /etc/openvpn/{keys,logs,plugin/auth-pam} -p
cp /usr/share/easy-rsa/2.0/keys/{ca.crt,server.crt,server.key,dh2048.pem} /etc/openvpn/keys/
cat > /etc/openvpn/server.conf << EOF
 port 443
 proto tcp
 dev tun
 ca keys/ca.crt
 cert keys/server.crt
 key keys/server.key
 dh keys/dh2048.pem
 server 10.100.0.0 255.255.255.0
 ifconfig-pool-persist ipp.txt
 #添加主机路由
 push "route 10.200.0.0 255.255.0.0"
 push "route 10.220.0.0 255.255.0.0"
 keepalive 10 120
 comp-lzo
 user nobody
 group nobody
 persist-key
 persist-tun
 status logs/openvpn-status.log
 log logs/openvpn.log
 log-append logs/openvpn.log
 verb 3
 plugin /etc/openvpn/plugin/openvpn-auth-pam.so openvpn
 client-cert-not-required
 username-as-common-name
 EOF

4、使用低版本的认证插件

wget http://pkgs.fedoraproject.org/repo/pkgs/openvpn/openvpn-2.0.7.tar.gz/93528233f1f6d02fc18e2c00f82e0aca/openvpn-2.0.7.tar.gz
 tar xf openvpn-2.0.7.tar.gz
 cd openvpn-2.0.7/plugin/auth-pam
 make
 cp openvpn-auth-pam.so /etc/openvpn/plugin/
 #(这一步可能无法成功,假如无法成功可从其他机器拷贝一份过去,我在附件中放了该文件)
 wget http://nchc.dl.sourceforge.net/project/pam-mysql/pam-mysql/0.7RC1/pam_mysql-0.7RC1.tar.gz
 tar xf pam_mysql-0.7RC1.tar.gz && cd pam_mysql-0.7RC1
 ./configure
 make
 makeinstall
 ln -s /lib/security/pam_mysql.so /lib64/security/
#如果编译中报错需要MySQL的库文件:
yum install -y pam-devel mysql mysql-devel
 cat > /etc/pam.d/openvpn << EOF
 auth sufficient /lib/security/pam_mysql.so user=xxx passwd=xxxxx host=xxxxxx db=vpn table=openvpnuser usercolumn=name passwdcolumn=password crypt=2
 account required /lib/security/pam_mysql.so user=xxx passwd=xxxxx host=xxxxxx db=vpn table=openvpnuser usercolumn=name passwdcolumn=password crypt=2
 EOF

5、MySQL配置

mysql -hjconnhrdmgt82.mysql.rds.aliyuncs.com -uzabbix_1 -p -D operations
 create database vpn;
 #grant all on vpn.* to xxx@'%' identified by 'xxxxxx';
 create table openvpnuser ( name char(20) NOT NULL, password char(128)default NULL, active int(10) NOT NULL DEFAULT 1, primary key (name) );
 insert into openvpnuser (name,password)values('vpnuser',password('vpnpassword'));
 #flush privileges;

6、启动openvpn

/etc/init.d/openvpn restart

服务端测试

testsaslauthd -u vpnuser -p vpnpassword -s openvpn
0:OK "Success."

windows客户端配置

1、客户端配置文件

cat > someone.ovpn << EOF
 client
 dev tun
 proto tcp
 remote 公网IP 443
 resolv-retry infinite
 nobind
 persist-key
 persist-tun
 ca ca.crt
 #cert client.crt
 #key client.key
 #上面两个是配置客户端使用秘钥登录的证书
 remote-cert-tls server
 comp-lzo
 verb 3
 auth-user-pass #此参数后可接文件名,例如:auth.txt,文件中记录账号和密码需换行
 EOF

2、下载服务端证书
下载ca.crt和someone.ovpn文件到本地

Iptables配置

*nat
:PREROUTING ACCEPT [222:10664]
:POSTROUTING ACCEPT [37944:2486906]
:OUTPUT ACCEPT [37944:2486906]
-A POSTROUTING -s 10.100.0.0/255.255.255.0 -o eth0 -j MASQUERADE
COMMIT
 #以上是iptables的配置文件中需要加入的一条配置,可以配置下面的命令然后保存iptables信息到配置文件中
 #iptables -t nat -A POSTROUTING -s10.100.0.0/255.255.255.0 -o eth0 -j MASQUERADE
 #iptables-save >/etc/sysconfig/iptables
 将openvpn添加到开机启动项中
 chkconfig --add openvpn
 chkconfig openvpn on

TIPS

Mar 10 17:05:15 jstwpz76bqary8 openvpn[27972]: PAM unableto dlopen(/lib/security/pam_mysql.so)
Mar 10 17:05:15 jstwpz76bqary8 openvpn[27972]: PAM [error:/lib/security/pam_mysql.so: undefined symbol: pam_set_data]

/var/log/secure中若出现如上错误,请尝试使用低版本的openvpn编译出来的openvpn-auth-pam.so动态链接库文件

免费提供最新Linux技术教程书籍,为开源技术爱好者努力做得更多更好:http://www.linuxprobe.com/

本文转载自:http://www.linuxprobe.com/centos-openvpn-mysql-auth.html

共有 人打赏支持
linuxprobe16
粉丝 8
博文 710
码字总数 139719
作品 0
河东
CentOS 6.x上搭建vSFTPD服务器搭建与配置详解

摘要: 手把手教你搭建vsftpd服务器,实现了基于db文件和MySQL数据库文件进行虚拟用户认证,当然了也本文章也包含搭建过程中问题的排查啦,哈哈哈。 另外,我在CentOS 7.x上也进行了搭建测试...

哎呀_毅然
2017/08/19
0
0
阿里云服务提供商服务有哪些呢?

云服务提供商提供的云服务有以下一些: 1、云应用专家保障   本服务将由阿里云认证区域服务提供商,通过远程+现场的方式,在用户业务高峰期就系统性能评估、压测,结构部署等,并提供724...

捷讯技术17
06/05
0
0
CentOS 6.4(32位) + PPTP + RADIUS + MySQL

大家好,非常感谢大家百忙中查看我的帖子! 环境: CentOS 6.4(32位) + PPTP + RADIUS + MySQL 实现的功能: 在CentOS系统上使用PPTP协议搭建VPN服务,VPN账户认证使用RADIUS读取MySQL账户密...

奔跑吧甘兄
2015/06/19
190
0
从0搭建小程序Node.js后台服务

准备条件 一台服务器 SSL证书,小程序规定必须要https协议 服务器后台 Node.js express mongodb pm2 下面以腾讯云主机(centos)为例 安装Node.js 也可以安装nvm,用nvm管理nodejs版本 安装git...

softbone
01/02
0
0
openstack-o版安装keystone

Keustone身份认证组件是openstack项目中默认的身份认证管理系统,所有的服务都需要keystone认证、根据用户的等级分配相应的权限。 那么我们现在配置最新版本openstack的认证服务keystone 前提...

Zai坚强一点
2017/07/04
0
0

没有更多内容

加载失败,请刷新页面

加载更多

下一页

qduoj~前端~二次开发~打包docker镜像并上传到阿里云容器镜像仓库

上一篇文章https://my.oschina.net/finchxu/blog/1930017记录了怎么在本地修改前端,现在我要把我的修改添加到部署到本地的前端的docker容器中,然后打包这个容器成为一个本地镜像,然后把这...

虚拟世界的懒猫
今天
1
0
UML中 的各种符号含义

Class Notation A class notation consists of three parts: Class Name The name of the class appears in the first partition. Class Attributes Attributes are shown in the second par......

hutaishi
今天
1
0
20180818 上课截图

小丑鱼00
今天
1
0
Springsecurity之SecurityContextHolderStrategy

注:下面分析的版本是spring-security-4.2.x,源码的github地址是: https://github.com/spring-projects/spring-security/tree/4.2.x 先上一张图: 图1 SecurityContextHolderStrategy的三个......

汉斯-冯-拉特
今天
1
0
LNMP架构(Nginx负载均衡、ssl原理、生成ssl密钥对、Nginx配置ssl)

Nginx负载均衡 网站的访问量越来越大,服务器的服务模式也得进行相应的升级,比如分离出数据库服务器、分离出图片作为单独服务,这些是简单的数据的负载均衡,将压力分散到不同的机器上。有时...

蛋黄_Yolks
今天
1
0

没有更多内容

加载失败,请刷新页面

加载更多

下一页

返回顶部
顶部