Exécuter OpenVPN sans droits administrateur

Posté par : Seb 

4

fév

Lors de l’installation d’OpenVPN une connexion virtuelle (TAP-Win32 Adapter V8) est créée dans les Connexions Réseau de Windows. Cette connexion virtuelle est une sorte d’intermédiaire entre la machine et la carte réseau physique et pour pouvoir l’utiliser il faut normalement disposer des droits administrateurs. En entreprise il est probable que les utilisateurs n’aient pas ces droits administrateurs et ils ne pourront donc pas se connecter à la liaison VPN.

Connexion OpenVPN

Connexion OpenVPN

Dans ce billet nous allons voir comment passer outre ce problème de droits en utilisant le service OpenVPN qui est également installé par défaut.

Une fois l’installation par défaut d’OpenVPN effectuée dans une session administrateur, il faut commencer par utiliser l’outil subinacl disponible sur le site de Microsoft. Cet outil va nous permettre de donner à un utilisateur les droits de démarrer et de stopper le service OpenVPN. Plutôt que d’exécuter le .msi sur chaque machine je vous conseille après une première installation de copier le fichier C:\Program Files\Windows Ressource Kits\Tools\subinacl.exe sur une clé USB. Tapez ensuite la commande suivante :

K:\subinacl.exe /SERVICE "OpenVPNService" /GRANT=DOMAINE\UTILISATEUR=TO

en modifiant bien sûr DOMAINE\UTILISATEUR en fonction de vos besoins.

Vous obtenez alors la suite de messages suivants :

OpenVPNService : new ace for DOMAINE\UTILISATEUR
OpenVPNService : 1 change(s)
Elapsed Time: 00 00:00:00
Done:        1, Modified        1, Failed        0, Syntax errors        0
Last Done  : OpenVPNService

Il faut à présent modifier deux clés dans la base de registre pour modifier le comportement d’OpenVPN GUI afin que les actions Connect/Disconnect agissent sur le service OpenVPN au lieu de lancer ou quitter openvpn.exe :

HKEY_LOCAL_MACHINE\SOFTWARE\OpenVPN-GUI\allow_service = 1
HKEY_LOCAL_MACHINE\SOFTWARE\OpenVPN-GUI\service_only = 1

L’utilisateur défini avec l’outil subinacl peut à présent se connecter à la liaison VPN sans disposer des droits administrateur en double-cliquant sur l’icône OpenVPN GUI située dans sa barre de notification.

Tags :
  • del.icio.us
  • Facebook
  • FriendFeed
  • Google Bookmarks
  • LinkedIn
  • Live
  • Netvibes
  • Reddit
  • StumbleUpon
  • Technorati
  • Twitter
  • viadeo FR
  • Wikio FR
  • email

Articles liés

2 commentaire(s) sur ce sujet
Suivre ce sujet : RSS Commentaires ou URL TrackBack
Psyc Identicon Icon
Psyc a écrit le 6-2-2010 à 11:05:35    

Hello Seb

Great how to you wrote .. sorry that I write in eglish, google translated me your blog to german ;) .. anyway .. I still facing some problems, that a user auth wouldnt be done anymore after I changed the settings you recommended.

Do you have any idea?

Pls respond is possible to my email.

Thanks in advance

Cheers
Psyc

Seb Identicon Icon
Seb a écrit le 8-2-2010 à 12:31:24    

That’s weird, there shouldn’t be any difference with authentication using openvpn.exe or the OpenVPN service. I just did a new test and it works without any modification.

Ajouter un commentaire

 Nom (*requis)

 Email (Il ne sera pas affiché)

 Site Web (*optionnel)

 

Translator

French flagItalian flagChinese (Simplified) flagEnglish flagGerman flagSpanish flagJapanese flagArabic flagRussian flagNorwegian flag

Blogs mis à jour