https://ssl.opennet.dev/openforum/vsluhforumID3/18027.html Было дано:<br> - Домен на Windows2003 с поднятым Kerberos.<br> - FreeBSD на шлюзе, куда должны были подключаться пользователи.<br> - VPN-демон mpd.<br><br>Задача: заставить mpd брать пароли из домена.<br><br>Решение:<br><br> - Ставим третью самбу с поддержкой кербероса.<br> - Настраиваем керберос<br> - Подсоединяем самбу в домен.<br> - Оставляем от нее только winbindd <br> - Ставим freeradius.<br> - Сцепляем радиус с самбой.<br> - Скручиваем mpd с радиусом и настраиваем сам mpd.<br><br>Итог: управляем учетными записями VPN-пользователей через обычные средства AD, <br>а не пишем руками данные в файл. <br><br>Примечание1. Документация гласит, что можно связать радиус с керберосом. <br>То есть теоретически можно отказаться от самбы. Я так не делал, <br>поскольку подцепить через самбу мне лично было проще.<br><br>Примечание2. Если использовать poptop, то можно не использовать <br>радиус, а использовать ntlm_auth из самбы. Тоже вариант.<br><br><br>URL: <br>Обсуждается: http://www.opennet.ru/tips/info/1058.shtml<br> https://ssl.opennet.dev/openforum/vsluhforumID3/18027.html#34 Wed, 21 Nov 2007 20:36:26 GMT &gt;Интересуют конфиги радиуса <br>&gt;Как заставить ево брать логины и пароли с Active Directory ??? <br><br>брать? логины можешь брать через nss_ldap -&gt; AD если нужны, пароли из AD не взять никак (точнее есть способ - его для интеграции с е-директори по-памяти пользуют, в общих чертах: для паролей в AD задаешь тип обратимого криптования и ставишь на контроллере агент - дающий их по запросу е-директори, но за такие методы по рукам клавиатурой бить трэба)<br>а вот проверять логин/пароль в AD есть два способа: rlm_ldap или rlm_krb5 на выбор (первый лучше и более гибкий, со вторым нужен легкий секс), есть еще правда rlm_pam+pam_ldap, rlm_pam+pam_krb5 (что то же самое, только в извращенной форме, плюс секса больше - pam_krb5 не пустит если пользователя в юникс нет, значит еще нужен и nss_ldap+AD и т.д, но работоспособно в принципе) и rlm_pam+pam_winbind (чего лично я против - ибо winbind только для крайних случаев) ну еще из изврата могу предложить авторизацию по скрипту - а из ldap-search, kerberos клиент, ntlmauth - второй в https://ssl.opennet.dev/openforum/vsluhforumID3/18027.html#33 Tue, 23 Oct 2007 12:38:53 GMT Сильно сложно:<br>1. Samba прикручивать для авторизации по запросу сторонних приложений это вообще<br> карусель (и pam_winbind - изврат до-Win2000 периода) ... freeRADIUS имеет<br> модули rlm_krb5 и rlm_ldap - любой из которых авторизирует пользователя<br> через AD, однако и freeRADIUS не нужен...<br><br>1. Как уже говорилось в WinServer есть встроенный RADIUS-сервер который нормально<br> работает хоть и недостаточно гибок в настройке - но для указанных целей<br> подойдет с головой (у нас работал для доступа на Cisco-девайсы но позже перешли<br> на freeRADIUS - вот там настаивай разных схем авторизации/автентификации - сколько<br> фантазии хватит - да и безопаснее администраторов актива после AD-проверки еще в<br> одном месте проверить), но RADIUS вообще не нужеен... <br><br>2. "Mpd also includes many additional features: ... Different authentication<br> and accounting methods (RADIUS, PAM, script, file, ...)..."<br> Из чего следует - фанаты Kerberos берут связку (pam_krb5 -&gt; AD) или GSS-API -&gt;<br> libkrb5 -&gt; AD, а ко https://ssl.opennet.dev/openforum/vsluhforumID3/18027.html#32 Wed, 04 Jul 2007 13:40:14 GMT Да, и как с NAT-ом быть в данном случае? https://ssl.opennet.dev/openforum/vsluhforumID3/18027.html#31 Wed, 04 Jul 2007 13:28:43 GMT А как эта схема уживается с сетевыми экранами?<br>И не мог бы автор дать ссылку на документацию, в которой описывается способ связать OpenRadius с Kerberos? https://ssl.opennet.dev/openforum/vsluhforumID3/18027.html#30 Tue, 05 Dec 2006 15:06:05 GMT Привет!<br>Хочу посмотреть твои настройки, вот тоже занялся этой темой.<br>vsityz@mail.ru<br><br><br> https://ssl.opennet.dev/openforum/vsluhforumID3/18027.html#26 Fri, 27 Oct 2006 19:05:44 GMT &gt;А для этого нужны freeradius либо radiusclient? Если можно - дай ссылку <br>&gt;на мануал или конфиги. <br><br>mpd уже содержит в себе радиус-клиента, нужно только указать IP радиус сервера (пусть хоть виндовый IAS)<br><br> https://ssl.opennet.dev/openforum/vsluhforumID3/18027.html#23 Tue, 12 Sep 2006 12:52:36 GMT binladin собака мыло ру - если не жалко делись - как раз думаю над этим https://ssl.opennet.dev/openforum/vsluhforumID3/18027.html#22 Fri, 08 Sep 2006 14:12:08 GMT Это понравилось больше.<br>http://www.opennet.ru/base/net/poptop_win2k.txt.html https://ssl.opennet.dev/openforum/vsluhforumID3/18027.html#21 Fri, 01 Sep 2006 15:12:43 GMT А для этого нужны freeradius либо radiusclient? Если можно - дай ссылку на мануал или конфиги.