The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Раздел полезных советов: Интеграция VPN на базе mpd в Active..."
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Разговоры, обсуждение новостей (Public)
Изначальное сообщение [Проследить за развитием треда]

"Раздел полезных советов: Интеграция VPN на базе mpd в Active..."  
Сообщение от auto_tips on 13-Июл-06, 13:44 
Было дано:
- Домен на Windows2003 с поднятым Kerberos.
- FreeBSD на шлюзе, куда должны были подключаться пользователи.
- VPN-демон mpd.

Задача: заставить mpd брать пароли из домена.

Решение:

- Ставим третью самбу с поддержкой кербероса.
- Настраиваем керберос
- Подсоединяем самбу в домен.
- Оставляем от нее только winbindd
- Ставим freeradius.
- Сцепляем радиус с самбой.
- Скручиваем mpd с радиусом и настраиваем сам mpd.

Итог: управляем учетными записями VPN-пользователей через обычные средства AD,
а не пишем руками данные в файл.

Примечание1. Документация гласит, что можно связать радиус с керберосом.
То есть теоретически можно отказаться от самбы. Я так не делал,
поскольку подцепить через самбу мне лично было проще.

Примечание2. Если использовать poptop, то можно не использовать
радиус, а использовать ntlm_auth из самбы. Тоже вариант.


URL:
Обсуждается: http://www.opennet.ru/tips/info/1058.shtml

Высказать мнение | Ответить | Правка | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по ответам | RSS]

1. "Интеграция VPN на базе mpd в Active Directory."  
Сообщение от Анонимус email on 13-Июл-06, 13:44 
а почему бы просто не использовать IAS?
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

2. "Интеграция VPN на базе mpd в Active Directory."  
Сообщение от RNZ (ok) on 14-Июл-06, 01:56 
В этом случает пользовать IAS думаю будет правильнее.

Второй вариант с поптоп похуже, потому как не будет известно - есть ли у пользователя право dial-in, придётся самому узнавать через туже SAMBA'у или через LDAP

IAS кстати штука глюкавая, но в целом правильный бекап с правильным автовосстановлением это дело исправляет

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

3. "Интеграция VPN на базе mpd в Active Directory."  
Сообщение от Andrey email(??) on 14-Июл-06, 19:20 
О, у меня год назад на дипломе один из пунктов его было реализовать такое. Сколько искал в инете по этому поводу доки-не нашел :(
Реализвал кривовато, генерил хеши на винде, копировал на фрю. Пропатчил мпд чтобы он делал хеши, потом сравнивал.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

4. "Интеграция VPN на базе mpd в Active Directory."  
Сообщение от Taras (??) on 20-Июл-06, 00:57 
Пожалуста, Поделись Конфигами ...
Очень нада ...
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

5. "Интеграция VPN на базе mpd в Active Directory."  
Сообщение от eGuru email(ok) on 20-Июл-06, 21:43 
А что за IAS ?
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

6. "Интеграция VPN на базе mpd в Active Directory."  
Сообщение от Andrey (??) on 21-Июл-06, 17:48 
Моими конфигами?
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

7. "Интеграция VPN на базе mpd в Active Directory."  
Сообщение от LamerAdmin on 21-Июл-06, 20:28 
А не проще ли поднять на котроллере домена Radius Service (RRAS) и сказать мпд авторизовать через него, не трогая кривой видюковый керберос и еще более кривой иас?
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

8. "Интеграция VPN на базе mpd в Active Directory."  
Сообщение от LamerAdmin on 21-Июл-06, 20:29 
В-общем, не обязательно на контроллере, а на любом сервере-члене домена.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

9. "Интеграция VPN на базе mpd в Active Directory."  
Сообщение от RNZ (??) on 23-Июл-06, 00:39 
RRAS - Routing and Remote Access Service - что не есть Radius Service
в случае использования RRAS придётся юзать один из EAP, MSCHAP, MSCHAP2 или пользовать IPSec - что не есть легче.
IAS - как раз и есть Radius Service
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

10. "Интеграция VPN на базе mpd в Active Directory."  
Сообщение от Taras (??) on 23-Июл-06, 11:20 
Интересуют конфиги радиуса
Как заставить ево брать логины и пароли с Active Directory ???
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

11. "Интеграция VPN на базе mpd в Active Directory."  
Сообщение от LamerAdmin on 24-Июл-06, 09:52 
Что такое RRAS, я и без вас знаю, батенька. Вам бы не мешало бы внимательно почитать и про IAS.
Радиус-функционал доступен в виндюках и без IAS.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

12. "Интеграция VPN на базе mpd в Active Directory."  
Сообщение от LamerAdmin on 24-Июл-06, 09:54 
И еще. Я так и не понял, в чем сложность использования EAP, MSCHAP, MSCHAP2, IPSec?
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

13. "Интеграция VPN на базе mpd в Active Directory."  
Сообщение от Taras (??) on 30-Июл-06, 19:45 
Никто нехотел поделиться конфигами ,пришлось рыть самому ...
И у меня всьо получилось !
Если кому нада раскажу как ...
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

14. "Интеграция VPN на базе mpd в Active Directory."  
Сообщение от SpheriX on 31-Июл-06, 02:10 
2 Taras:
Я добавил свои конфиги достаточно давно.
Посмотри еще раз на конец новости.
Можем пообщаться и сравнить ;)
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

15. "Интеграция VPN на базе mpd в Active Directory."  
Сообщение от Taras email(??) on 10-Авг-06, 20:11 
С конфигами у меня похоже
у меня проблема щас в том что Винда несоединяется с шифрованием ...
Без шифрования всьо ОК :(
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

16. "Интеграция VPN на базе mpd в Active Directory."  
Сообщение от RNZ email(ok) on 13-Авг-06, 19:28 
>И еще. Я так и не понял, в чем сложность использования EAP,
>MSCHAP, MSCHAP2, IPSec?
И что тут непонятно?
Что проще, настроить логин юзеров по радиус или настроить логин по всяким mschap(2), eap?

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

17. "Интеграция VPN на базе mpd в Active Directory."  
Сообщение от RNZ email(ok) on 13-Авг-06, 19:36 
Это вам надо читать.
Иначе такое - "А не проще ли поднять на котроллере домена Radius Service (RRAS) и сказать мпд авторизовать через него, не трогая кривой видюковый керберос и еще более кривой иас?" - не говорили бы.
В RRAS RADIUS сервер можно подцепить, но никак его сам RRAS не реализует. И в любом случае связать RRAS с mpd связать сложнее чем заюзать радиус через mpd. Ну и последне в поставку Windows RADIUS сервер входит только один - IAS.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

18. "Интеграция VPN на базе mpd в Active Directory."  
Сообщение от SpheriX on 22-Авг-06, 19:26 
А mppc в ядро кто грузить будет ?   Тятькин ? ;)
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

19. "Интеграция VPN на базе mpd в Active Directory."  
Сообщение от dm email(??) on 27-Авг-06, 16:23 
MPD очень легко интегрируется с radiusом который в винде.

а с MPD4 даже получилось использование Alladin E-Token.

Так что все что выше - полный велосипед.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

20. "Интеграция VPN на базе mpd в Active Directory."  
Сообщение от spherix email on 29-Авг-06, 21:45 
2dm
А с радиусом он общается plain text'ом?
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

21. "Интеграция VPN на базе mpd в Active Directory."  
Сообщение от max3 (ok) on 01-Сен-06, 19:12 
А для этого нужны freeradius либо radiusclient? Если можно - дай ссылку на мануал или конфиги.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

22. "Раздел полезных советов: Интеграция VPN на базе mpd в Active..."  
Сообщение от CocoBrice (ok) on 08-Сен-06, 18:12 
Это понравилось больше.
http://www.opennet.ru/base/net/poptop_win2k.txt.html
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

23. "Интеграция VPN на базе mpd в Active Directory."  
Сообщение от binladin email on 12-Сен-06, 16:52 
binladin собака мыло ру - если не жалко делись - как раз думаю над этим
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

26. "Интеграция VPN на базе mpd в Active Directory."  
Сообщение от goal email(??) on 27-Окт-06, 23:05 
>А для этого нужны freeradius либо radiusclient? Если можно - дай ссылку
>на мануал или конфиги.

mpd уже содержит в себе радиус-клиента, нужно только указать IP радиус сервера (пусть хоть виндовый IAS)

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

30. "Интеграция VPN на базе mpd в Active Directory."  
Сообщение от daemon17 (ok) on 05-Дек-06, 18:06 
Привет!
Хочу посмотреть твои настройки, вот тоже занялся этой темой.
vsityz@mail.ru


Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

31. "Интеграция VPN на базе mpd в Active Directory."  
Сообщение от Кирилл (??) on 04-Июл-07, 17:28 
А как эта схема уживается с сетевыми экранами?
И не мог бы автор дать ссылку на документацию, в которой описывается способ связать OpenRadius с Kerberos?
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

32. "Интеграция VPN на базе mpd в Active Directory."  
Сообщение от Кирилл (??) on 04-Июл-07, 17:40 
Да, и как с NAT-ом быть в данном случае?
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

33. "Раздел полезных советов: Интеграция VPN на базе mpd в Active..."  
Сообщение от myatz on 23-Окт-07, 16:38 
Сильно сложно:
1. Samba прикручивать для авторизации по запросу сторонних приложений это вообще
   карусель (и pam_winbind - изврат до-Win2000 периода) ... freeRADIUS имеет
   модули rlm_krb5 и rlm_ldap - любой из которых авторизирует пользователя
   через AD, однако и freeRADIUS не нужен...

1. Как уже говорилось в WinServer есть встроенный RADIUS-сервер который нормально
   работает хоть и недостаточно гибок в настройке - но для указанных целей
   подойдет с головой (у нас работал для доступа на Cisco-девайсы но позже перешли
   на freeRADIUS - вот там настаивай разных схем авторизации/автентификации - сколько
   фантазии хватит - да и безопаснее администраторов актива после AD-проверки еще в
   одном месте проверить), но RADIUS вообще не нужеен...  

2. "Mpd also includes many additional features: ... Different authentication
   and accounting methods (RADIUS, PAM, script, file, ...)..."
   Из чего следует - фанаты Kerberos берут связку (pam_krb5 -> AD) или GSS-API ->
   libkrb5 -> AD, а кому удобнее LDAP: (pam_ldap -> AD) или (скрипт с вызовом
   OpenLDAP-client -> AD) и вообще без промежуточных Samba/Radius'ов...

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

34. "Интеграция VPN на базе mpd в Active Directory."  
Сообщение от myatz on 21-Ноя-07, 23:36 
>Интересуют конфиги радиуса
>Как заставить ево брать логины и пароли с Active Directory ???

брать? логины можешь брать через nss_ldap -> AD если нужны, пароли из AD не взять никак (точнее есть способ - его для интеграции с е-директори по-памяти пользуют, в общих чертах: для паролей в AD задаешь тип обратимого криптования и ставишь на контроллере агент - дающий их по запросу е-директори, но за такие методы по рукам клавиатурой бить трэба)
а вот проверять логин/пароль в AD есть два способа: rlm_ldap или rlm_krb5 на выбор (первый лучше и более гибкий, со вторым нужен легкий секс), есть еще правда rlm_pam+pam_ldap, rlm_pam+pam_krb5 (что то же самое, только в извращенной форме, плюс секса больше - pam_krb5 не пустит если пользователя в юникс нет, значит еще нужен и nss_ldap+AD и т.д, но работоспособно в принципе) и rlm_pam+pam_winbind (чего лично я против - ибо winbind только для крайних случаев) ну еще из изврата могу предложить авторизацию по скрипту - а из ldap-search, kerberos клиент, ntlmauth - второй вариант но уже хардкор полный

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору


Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру