The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

Интеграция VPN на базе mpd в Active Directory.
Было дано:
 - Домен на Windows2003 с поднятым Kerberos.
 - FreeBSD на шлюзе, куда должны были подключаться пользователи.
 - VPN-демон mpd.

Задача: заставить mpd брать пароли из домена.

Решение:

 - Ставим третью самбу с поддержкой кербероса.
 - Настраиваем керберос
 - Подсоединяем самбу в домен.
 - Оставляем от нее только winbindd 
 - Ставим freeradius.
 - Сцепляем радиус с самбой.
 - Скручиваем mpd с радиусом и настраиваем сам mpd.

Итог: управляем учетными записями VPN-пользователей через обычные средства AD, 
а не пишем руками данные в файл. 

Примечание1. Документация гласит, что можно связать радиус с керберосом. 
То есть теоретически можно отказаться от самбы. Я так не делал, 
поскольку подцепить через самбу мне лично было проще.

Примечание2. Если использовать poptop, то можно не использовать 
радиус, а использовать ntlm_auth из самбы. Тоже вариант.


Файлы конфигурации: http://www.opennet.ru/base/net/mpd_win2003.txt.html
 
12.07.2006 , Автор: spherix
Ключи: mpd, vpn, radius, samba / Лицензия: CC-BY
Раздел:    Корень / Администратору / Сетевые сервисы / Samba

Обсуждение [ Линейный режим | Показать все | RSS ]
 
  • 1.1, Анонимус, 13:44, 13/07/2006 [ответить] [смотреть все]
  • +/
    а почему бы просто не использовать IAS?
     
  • 1.2, RNZ, 01:56, 14/07/2006 [ответить] [смотреть все]
  • +/
    В этом случает пользовать IAS думаю будет правильнее.

    Второй вариант с поптоп похуже, потому как не будет известно - есть ли у пользователя право dial-in, придётся самому узнавать через туже SAMBA'у или через LDAP

    IAS кстати штука глюкавая, но в целом правильный бекап с правильным автовосстановлением это дело исправляет

     
  • 1.3, Andrey, 19:20, 14/07/2006 [ответить] [смотреть все]
  • +/
    О, у меня год назад на дипломе один из пунктов его было реализовать такое. Сколько искал в инете по этому поводу доки-не нашел :(
    Реализвал кривовато, генерил хеши на винде, копировал на фрю. Пропатчил мпд чтобы он делал хеши, потом сравнивал.
     
  • 1.4, Taras, 00:57, 20/07/2006 [ответить] [смотреть все]
  • +/
    Пожалуста, Поделись Конфигами ...
    Очень нада ...
     
  • 1.5, eGuru, 21:43, 20/07/2006 [ответить] [смотреть все]
  • +/
    А что за IAS ?
     
  • 1.6, Andrey, 17:48, 21/07/2006 [ответить] [смотреть все]  
  • +/
    Моими конфигами?
     
  • 1.7, LamerAdmin, 20:28, 21/07/2006 [ответить] [смотреть все]  
  • +/
    А не проще ли поднять на котроллере домена Radius Service (RRAS) и сказать мпд авторизовать через него, не трогая кривой видюковый керберос и еще более кривой иас?
     
     
  • 2.9, RNZ, 00:39, 23/07/2006 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    RRAS - Routing and Remote Access Service - что не есть Radius Service в случае и... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.11, LamerAdmin, 09:52, 24/07/2006 [^] [ответить] [смотреть все]  
  • +/
    Что такое RRAS, я и без вас знаю, батенька Вам бы не мешало бы внимательно почи... весь текст скрыт [показать]
     
     
  • 4.17, RNZ, 19:36, 13/08/2006 [^] [ответить] [смотреть все]  
  • +/
    Это вам надо читать Иначе такое - А не проще ли поднять на котроллере домена ... весь текст скрыт [показать]
     
  • 3.12, LamerAdmin, 09:54, 24/07/2006 [^] [ответить] [смотреть все]  
  • +/
    И еще Я так и не понял, в чем сложность использования EAP, MSCHAP, MSCHAP2, IPS... весь текст скрыт [показать]
     
     
  • 4.16, RNZ, 19:28, 13/08/2006 [^] [ответить] [смотреть все]  
  • +/
    И что тут непонятно Что проще, настроить логин юзеров по радиус или настроить л... весь текст скрыт [показать]
     
  • 1.8, LamerAdmin, 20:29, 21/07/2006 [ответить] [смотреть все]  
  • +/
    В-общем, не обязательно на контроллере, а на любом сервере-члене домена.
     
  • 1.10, Taras, 11:20, 23/07/2006 [ответить] [смотреть все]  
  • +/
    Интересуют конфиги радиуса
    Как заставить ево брать логины и пароли с Active Directory ???
     
     
  • 2.30, daemon17, 18:06, 05/12/2006 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Привет Хочу посмотреть твои настройки, вот тоже занялся этой темой vsityz mail... весь текст скрыт [показать] [показать ветку]
     
  • 2.34, myatz, 23:36, 21/11/2007 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    брать логины можешь брать через nss_ldap - AD если нужны, пароли из AD не взят... весь текст скрыт [показать] [показать ветку]
     
  • 1.13, Taras, 19:45, 30/07/2006 [ответить] [смотреть все]  
  • +/
    Никто нехотел поделиться конфигами ,пришлось рыть самому ...
    И у меня всьо получилось !
    Если кому нада раскажу как ...
     
     
  • 2.23, binladin, 16:52, 12/09/2006 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    binladin собака мыло ру - если не жалко делись - как раз думаю над этим
     
  • 1.14, SpheriX, 02:10, 31/07/2006 [ответить] [смотреть все]  
  • +/
    2 Taras:
    Я добавил свои конфиги достаточно давно.
    Посмотри еще раз на конец новости.
    Можем пообщаться и сравнить ;)
     
     
  • 2.15, Taras, 20:11, 10/08/2006 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    С конфигами у меня похоже у меня проблема щас в том что Винда несоединяется с ш... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.18, SpheriX, 19:26, 22/08/2006 [^] [ответить] [смотреть все]  
  • +/
    А mppc в ядро кто грузить будет ?   Тятькин ? ;)
     
     
  • 4.19, dm, 16:23, 27/08/2006 [^] [ответить] [смотреть все]  
  • +/
    MPD очень легко интегрируется с radiusом который в винде а с MPD4 даже получило... весь текст скрыт [показать]
     
     
  • 5.21, max3, 19:12, 01/09/2006 [^] [ответить] [смотреть все]  
  • +/
    А для этого нужны freeradius либо radiusclient Если можно - дай ссылку на мануа... весь текст скрыт [показать]
     
     
  • 6.26, goal, 23:05, 27/10/2006 [^] [ответить] [смотреть все]  
  • +/
    >А для этого нужны freeradius либо radiusclient? Если можно - дай ссылку
    >на мануал или конфиги.

    mpd уже содержит в себе радиус-клиента, нужно только указать IP радиус сервера (пусть хоть виндовый IAS)

     
  • 1.20, spherix, 21:45, 29/08/2006 [ответить] [смотреть все]  
  • +/
    2dm
    А с радиусом он общается plain text'ом?
     
  • 1.22, CocoBrice, 18:12, 08/09/2006 [ответить] [смотреть все]  
  • +/
    Это понравилось больше.
    http://www.opennet.ru/base/net/poptop_win2k.txt.html
     
  • 1.31, Кирилл, 17:28, 04/07/2007 [ответить] [смотреть все]  
  • +/
    А как эта схема уживается с сетевыми экранами?
    И не мог бы автор дать ссылку на документацию, в которой описывается способ связать OpenRadius с Kerberos?
     
  • 1.32, Кирилл, 17:40, 04/07/2007 [ответить] [смотреть все]  
  • +/
    Да, и как с NAT-ом быть в данном случае?
     
  • 1.33, myatz, 16:38, 23/10/2007 [ответить] [смотреть все]  
  • +/
    Сильно сложно 1 Samba прикручивать для авторизации по запросу сторонних прилож... весь текст скрыт [показать]
     

    Ваш комментарий
    Имя:         
    E-Mail:      
    Заголовок:
    Текст:



      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor