pfSense: Authenticatie via LDAP voor bepaalde groep

Goedemiddag allemaal,


Ik heb zopas een pfSense router/firewall/VPN server geïnstalleerd. Hierop draait OpenVPN.
Daarnaast heb ik een Qnap nas draaien waar een LDAP server op aanwezig is. Deze LDAP wil ik nu ook gebruiken als authenticatie voor de OpenVPN server van pfSense.
OpenVPN controleerd prima de gebruikersnaam en paswoord in de LDAP, maar ik wil enkel VPN toegang toestaan voor leden van een bepaalde groep in de directory. Ik heb hiervoor een groep "vpnusers" aangemaakt.

De gebruikers zitten in ou=people,dc=bedrijf,dc=be. De groepen zitten in cn=vpnusers,ou=group,dc=bedrijf,db=be. Het group membership wordt opgeslagen in de groep zelf door middel van meerdere memberUid attributen.

Zie volgende screenshots voor wat meer detail:






Ik slaag er niet in om pfSense enkel gebruikers van de groep vpnusers toe te laten. Met de instellingen in het laatste screenshot krijgt iedere gebruiker uit de LDAP directory toegang tot de VPN. Ik heb zitten spelen met verschillende extended queries, maar geraak er niet meer wijs uit.

Iemand enige suggesties? Alvast bedankt!

Stijn

Heren, alvast bedankt voor de reacties!

Als ik in het bovenstaande screenshot het vakje bij Extended Query inschakel (zonder te wijzigen wat er ingesteld staat), kan geen enkele gebruiker nog inloggen.

Als authentication container heb ik CN=vpnusers,OU=groepen,DC=bla,DC=be reeds geprobeerd, maar ook dan kon geen enkele gebruiker meer inloggen.

Ik vermoed dat de authentication container wel degelijk OU=people moet zijn, omdat daar de gebruikers in opgeslagen zijn, in de CN=vpnusers,OU=groups, zitten enkel verwijzingen naar deze gebruikers. Ik ben echter nog wat onervaren in het LDAP-wereldje, dus ik kan het mis hebben...

Bedankt voor de ldapsearch tip, ik ga daar wat mee experimenteren.