The OpenNET Project: Интеграция VPN на базе mpd в Active Directory.

Интеграция VPN на базе mpd в Active Directory.	[исправить]
Было дано: - Домен на Windows2003 с поднятым Kerberos. - FreeBSD на шлюзе, куда должны были подключаться пользователи. - VPN-демон mpd. Задача: заставить mpd брать пароли из домена. Решение: - Ставим третью самбу с поддержкой кербероса. - Настраиваем керберос - Подсоединяем самбу в домен. - Оставляем от нее только winbindd - Ставим freeradius. - Сцепляем радиус с самбой. - Скручиваем mpd с радиусом и настраиваем сам mpd. Итог: управляем учетными записями VPN-пользователей через обычные средства AD, а не пишем руками данные в файл. Примечание1. Документация гласит, что можно связать радиус с керберосом. То есть теоретически можно отказаться от самбы. Я так не делал, поскольку подцепить через самбу мне лично было проще. Примечание2. Если использовать poptop, то можно не использовать радиус, а использовать ntlm_auth из самбы. Тоже вариант. Файлы конфигурации: http://www.opennet.ru/base/net/mpd_win2003.txt.html

12.07.2006 , Автор: spherix Ключи: mpd, vpn, radius, samba, (найти похожие документы)
Раздел: Корень / Администратору / Сетевые сервисы / Samba

Обсуждение

[ Линейный режим | Показать все | RSS ]

1.1, Анонимус, 13:44, 13/07/2006 [ответить] [смотреть все]	+/–
а почему бы просто не использовать IAS?

1.2, RNZ, 01:56, 14/07/2006 [ответить] [смотреть все]

+/–

В этом случает пользовать IAS думаю будет правильнее.

Второй вариант с поптоп похуже, потому как не будет известно - есть ли у пользователя право dial-in, придётся самому узнавать через туже SAMBA'у или через LDAP

IAS кстати штука глюкавая, но в целом правильный бекап с правильным автовосстановлением это дело исправляет

1.3, Andrey, 19:20, 14/07/2006 [ответить] [смотреть все]	+/–
О, у меня год назад на дипломе один из пунктов его было реализовать такое. Сколько искал в инете по этому поводу доки-не нашел :( Реализвал кривовато, генерил хеши на винде, копировал на фрю. Пропатчил мпд чтобы он делал хеши, потом сравнивал.

1.4, Taras, 00:57, 20/07/2006 [ответить] [смотреть все]	+/–
Пожалуста, Поделись Конфигами ... Очень нада ...

1.5, eGuru, 21:43, 20/07/2006 [ответить] [смотреть все]	+/–
А что за IAS ?

1.6, Andrey, 17:48, 21/07/2006 [ответить] [смотреть все]	+/–
Моими конфигами?

1.7, LamerAdmin, 20:28, 21/07/2006 [ответить] [смотреть все]	+/–
А не проще ли поднять на котроллере домена Radius Service (RRAS) и сказать мпд авторизовать через него, не трогая кривой видюковый керберос и еще более кривой иас?

2.9, RNZ, 00:39, 23/07/2006 [^] [ответить] [смотреть все] [показать ветку]	+/–
RRAS - Routing and Remote Access Service - что не есть Radius Service в случае и... весь текст скрыт [показать] [показать ветку]

3.11, LamerAdmin, 09:52, 24/07/2006 [^] [ответить] [смотреть все]	+/–
Что такое RRAS, я и без вас знаю, батенька Вам бы не мешало бы внимательно почи... весь текст скрыт [показать]

4.17, RNZ, 19:36, 13/08/2006 [^] [ответить] [смотреть все]	+/–
Это вам надо читать Иначе такое - А не проще ли поднять на котроллере домена ... весь текст скрыт [показать]

3.12, LamerAdmin, 09:54, 24/07/2006 [^] [ответить] [смотреть все]	+/–
И еще Я так и не понял, в чем сложность использования EAP, MSCHAP, MSCHAP2, IPS... весь текст скрыт [показать]

4.16, RNZ, 19:28, 13/08/2006 [^] [ответить] [смотреть все]	+/–
И что тут непонятно Что проще, настроить логин юзеров по радиус или настроить л... весь текст скрыт [показать]

1.8, LamerAdmin, 20:29, 21/07/2006 [ответить] [смотреть все]	+/–
В-общем, не обязательно на контроллере, а на любом сервере-члене домена.

1.10, Taras, 11:20, 23/07/2006 [ответить] [смотреть все]	+/–
Интересуют конфиги радиуса Как заставить ево брать логины и пароли с Active Directory ???

2.30, daemon17, 18:06, 05/12/2006 [^] [ответить] [смотреть все] [показать ветку]	+/–
Привет Хочу посмотреть твои настройки, вот тоже занялся этой темой vsityz mail... весь текст скрыт [показать] [показать ветку]

2.34, myatz, 23:36, 21/11/2007 [^] [ответить] [смотреть все] [показать ветку]	+/–
брать логины можешь брать через nss_ldap - AD если нужны, пароли из AD не взят... весь текст скрыт [показать] [показать ветку]

1.13, Taras, 19:45, 30/07/2006 [ответить] [смотреть все]	+/–
Никто нехотел поделиться конфигами ,пришлось рыть самому ... И у меня всьо получилось ! Если кому нада раскажу как ...

2.23, binladin, 16:52, 12/09/2006 [^] [ответить] [смотреть все] [показать ветку]	+/–
binladin собака мыло ру - если не жалко делись - как раз думаю над этим... весь текст скрыт [показать] [показать ветку]

1.14, SpheriX, 02:10, 31/07/2006 [ответить] [смотреть все]	+/–
2 Taras: Я добавил свои конфиги достаточно давно. Посмотри еще раз на конец новости. Можем пообщаться и сравнить ;)

2.15, Taras, 20:11, 10/08/2006 [^] [ответить] [смотреть все] [показать ветку]	+/–
С конфигами у меня похоже у меня проблема щас в том что Винда несоединяется с ш... весь текст скрыт [показать] [показать ветку]

3.18, SpheriX, 19:26, 22/08/2006 [^] [ответить] [смотреть все]	+/–
А mppc в ядро кто грузить будет Тятькин ... весь текст скрыт [показать]

4.19, dm, 16:23, 27/08/2006 [^] [ответить] [смотреть все]	+/–
MPD очень легко интегрируется с radiusом который в винде а с MPD4 даже получило... весь текст скрыт [показать]

5.21, max3, 19:12, 01/09/2006 [^] [ответить] [смотреть все]	+/–
А для этого нужны freeradius либо radiusclient Если можно - дай ссылку на мануа... весь текст скрыт [показать]

6.26, goal, 23:05, 27/10/2006 [^] [ответить] [смотреть все]

+/–

>А для этого нужны freeradius либо radiusclient? Если можно - дай ссылку
>на мануал или конфиги.

mpd уже содержит в себе радиус-клиента, нужно только указать IP радиус сервера (пусть хоть виндовый IAS)

1.20, spherix, 21:45, 29/08/2006 [ответить] [смотреть все]	+/–
2dm А с радиусом он общается plain text'ом?

1.22, CocoBrice, 18:12, 08/09/2006 [ответить] [смотреть все]	+/–
Это понравилось больше. http://www.opennet.ru/base/net/poptop_win2k.txt.html

1.31, Кирилл, 17:28, 04/07/2007 [ответить] [смотреть все]	+/–
А как эта схема уживается с сетевыми экранами? И не мог бы автор дать ссылку на документацию, в которой описывается способ связать OpenRadius с Kerberos?

1.32, Кирилл, 17:40, 04/07/2007 [ответить] [смотреть все]	+/–
Да, и как с NAT-ом быть в данном случае?

1.33, myatz, 16:38, 23/10/2007 [ответить] [смотреть все]	+/–
Сильно сложно 1 Samba прикручивать для авторизации по запросу сторонних прилож... весь текст скрыт [показать]

Ваш комментарий

Добавить заметку

Версия для печати

Последние заметки

- 12.05 Организация шифрованного бэкапа с помощью rdiff-backup, encfs и Dropbox

- 11.05 Настройка беспроводного соединения в Debian GNU/Linux

- 07.05 Использование Google Drive в Linux

- 18.04 Использование нескольких сетевых стеков в Linux

- 15.04 Восстановление стандартного KDE меню после его удаления (например, wine)

- 11.04 Настройка gmirror при использовании GPT во FreeBSD 9

- 09.04 Маршрутизатор на базе FreeBSD с приоритизация трафика средствами PF и ALTQ

- 02.04 Частичное восстановление данных MySQL из бэкапа, созданного с использованием LVM

- 21.03 Настройка DNSSEC в BIND 9.9

- 17.03 Набор номера на Cisco IP Phone 7960/7940 из скрипта

RSS | Следующие 15 записей >>

ПОДПИШИСЬ НА ЖУРНАЛ Linux Format 2012!

Журнал "Linux Format" (Линукс Формат)- Единственный в России и странах СНГ журнал на русском языке, посвящённый Linux и свободному ПО. Журнал для IT-директоров, IT-менеджеров, программистов, системных администраторов, учителей школ и преподавателей ВУЗов и всех пользователей ПК. В каждом выпуске: Новости индустрии OpenSource, обзоры новинок свободного ПО, обучающие и методические статьи.

Каждый, кто оформит подписку, получает бонусы и подарки- объёмные наклейки на системный блок, диск с архивом номеров за 2005-2011 г.г. и ежемесячно электронную версию журнала в pdf-формате.

Оформить подписку на год

Закладки на сайте
Проследить за страницей

Created 1996-2012 by Maxim Chirkov
Добавить, Реклама, Вебмастеру, ГИД