The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Интеграция VPN на базе mpd в Active Directory.
Было дано:
 - Домен на Windows2003 с поднятым Kerberos.
 - FreeBSD на шлюзе, куда должны были подключаться пользователи.
 - VPN-демон mpd.

Задача: заставить mpd брать пароли из домена.

Решение:

 - Ставим третью самбу с поддержкой кербероса.
 - Настраиваем керберос
 - Подсоединяем самбу в домен.
 - Оставляем от нее только winbindd 
 - Ставим freeradius.
 - Сцепляем радиус с самбой.
 - Скручиваем mpd с радиусом и настраиваем сам mpd.

Итог: управляем учетными записями VPN-пользователей через обычные средства AD, 
а не пишем руками данные в файл. 

Примечание1. Документация гласит, что можно связать радиус с керберосом. 
То есть теоретически можно отказаться от самбы. Я так не делал, 
поскольку подцепить через самбу мне лично было проще.

Примечание2. Если использовать poptop, то можно не использовать 
радиус, а использовать ntlm_auth из самбы. Тоже вариант.


Файлы конфигурации: http://www.opennet.dev/base/net/mpd_win2003.txt.html
 
12.07.2006 , Автор: spherix
Ключи: mpd, vpn, radius, samba / Лицензия: CC-BY
Раздел:    Корень / Администратору / Сетевые сервисы / Samba

Обсуждение [ Линейный режим | Показать все | RSS ]
  • 1.1, Анонимус (?), 13:44, 13/07/2006 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    а почему бы просто не использовать IAS?
     
  • 1.2, RNZ (ok), 01:56, 14/07/2006 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    В этом случает пользовать IAS думаю будет правильнее.

    Второй вариант с поптоп похуже, потому как не будет известно - есть ли у пользователя право dial-in, придётся самому узнавать через туже SAMBA'у или через LDAP

    IAS кстати штука глюкавая, но в целом правильный бекап с правильным автовосстановлением это дело исправляет

     
  • 1.3, Andrey (??), 19:20, 14/07/2006 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    О, у меня год назад на дипломе один из пунктов его было реализовать такое. Сколько искал в инете по этому поводу доки-не нашел :(
    Реализвал кривовато, генерил хеши на винде, копировал на фрю. Пропатчил мпд чтобы он делал хеши, потом сравнивал.
     
  • 1.4, Taras (??), 00:57, 20/07/2006 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Пожалуста, Поделись Конфигами ...
    Очень нада ...
     
  • 1.5, eGuru (ok), 21:43, 20/07/2006 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А что за IAS ?
     
  • 1.6, Andrey (??), 17:48, 21/07/2006 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Моими конфигами?
     
  • 1.7, LamerAdmin (?), 20:28, 21/07/2006 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А не проще ли поднять на котроллере домена Radius Service (RRAS) и сказать мпд авторизовать через него, не трогая кривой видюковый керберос и еще более кривой иас?
     
     
  • 2.9, RNZ (??), 00:39, 23/07/2006 [^] [^^] [^^^] [ответить]  
  • +/
    RRAS - Routing and Remote Access Service - что не есть Radius Service
    в случае использования RRAS придётся юзать один из EAP, MSCHAP, MSCHAP2 или пользовать IPSec - что не есть легче.
    IAS - как раз и есть Radius Service
     
     
  • 3.11, LamerAdmin (?), 09:52, 24/07/2006 [^] [^^] [^^^] [ответить]  
  • +/
    Что такое RRAS, я и без вас знаю, батенька. Вам бы не мешало бы внимательно почитать и про IAS.
    Радиус-функционал доступен в виндюках и без IAS.
     
     
  • 4.17, RNZ (ok), 19:36, 13/08/2006 [^] [^^] [^^^] [ответить]  
  • +/
    Это вам надо читать.
    Иначе такое - "А не проще ли поднять на котроллере домена Radius Service (RRAS) и сказать мпд авторизовать через него, не трогая кривой видюковый керберос и еще более кривой иас?" - не говорили бы.
    В RRAS RADIUS сервер можно подцепить, но никак его сам RRAS не реализует. И в любом случае связать RRAS с mpd связать сложнее чем заюзать радиус через mpd. Ну и последне в поставку Windows RADIUS сервер входит только один - IAS.
     
  • 3.12, LamerAdmin (?), 09:54, 24/07/2006 [^] [^^] [^^^] [ответить]  
  • +/
    И еще. Я так и не понял, в чем сложность использования EAP, MSCHAP, MSCHAP2, IPSec?
     
     
  • 4.16, RNZ (ok), 19:28, 13/08/2006 [^] [^^] [^^^] [ответить]  
  • +/
    >И еще. Я так и не понял, в чем сложность использования EAP,
    >MSCHAP, MSCHAP2, IPSec?
    И что тут непонятно?
    Что проще, настроить логин юзеров по радиус или настроить логин по всяким mschap(2), eap?

     

  • 1.8, LamerAdmin (?), 20:29, 21/07/2006 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    В-общем, не обязательно на контроллере, а на любом сервере-члене домена.
     
  • 1.10, Taras (??), 11:20, 23/07/2006 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Интересуют конфиги радиуса
    Как заставить ево брать логины и пароли с Active Directory ???
     
     
  • 2.30, daemon17 (ok), 18:06, 05/12/2006 [^] [^^] [^^^] [ответить]  
  • +/
    Привет!
    Хочу посмотреть твои настройки, вот тоже занялся этой темой.
    vsityz@mail.ru


     
  • 2.34, myatz (?), 23:36, 21/11/2007 [^] [^^] [^^^] [ответить]  
  • +/
    >Интересуют конфиги радиуса
    >Как заставить ево брать логины и пароли с Active Directory ???

    брать? логины можешь брать через nss_ldap -> AD если нужны, пароли из AD не взять никак (точнее есть способ - его для интеграции с е-директори по-памяти пользуют, в общих чертах: для паролей в AD задаешь тип обратимого криптования и ставишь на контроллере агент - дающий их по запросу е-директори, но за такие методы по рукам клавиатурой бить трэба)
    а вот проверять логин/пароль в AD есть два способа: rlm_ldap или rlm_krb5 на выбор (первый лучше и более гибкий, со вторым нужен легкий секс), есть еще правда rlm_pam+pam_ldap, rlm_pam+pam_krb5 (что то же самое, только в извращенной форме, плюс секса больше - pam_krb5 не пустит если пользователя в юникс нет, значит еще нужен и nss_ldap+AD и т.д, но работоспособно в принципе) и rlm_pam+pam_winbind (чего лично я против - ибо winbind только для крайних случаев) ну еще из изврата могу предложить авторизацию по скрипту - а из ldap-search, kerberos клиент, ntlmauth - второй вариант но уже хардкор полный

     

  • 1.13, Taras (??), 19:45, 30/07/2006 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Никто нехотел поделиться конфигами ,пришлось рыть самому ...
    И у меня всьо получилось !
    Если кому нада раскажу как ...
     
     
  • 2.23, binladin (?), 16:52, 12/09/2006 [^] [^^] [^^^] [ответить]  
  • +/
    binladin собака мыло ру - если не жалко делись - как раз думаю над этим
     

  • 1.14, SpheriX (?), 02:10, 31/07/2006 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    2 Taras:
    Я добавил свои конфиги достаточно давно.
    Посмотри еще раз на конец новости.
    Можем пообщаться и сравнить ;)
     
     
  • 2.15, Taras (??), 20:11, 10/08/2006 [^] [^^] [^^^] [ответить]  
  • +/
    С конфигами у меня похоже
    у меня проблема щас в том что Винда несоединяется с шифрованием ...
    Без шифрования всьо ОК :(
     
     
  • 3.18, SpheriX (?), 19:26, 22/08/2006 [^] [^^] [^^^] [ответить]  
  • +/
    А mppc в ядро кто грузить будет ?   Тятькин ? ;)
     
     
  • 4.19, dm (??), 16:23, 27/08/2006 [^] [^^] [^^^] [ответить]  
  • +/
    MPD очень легко интегрируется с radiusом который в винде.

    а с MPD4 даже получилось использование Alladin E-Token.

    Так что все что выше - полный велосипед.

     
     
  • 5.21, max3 (ok), 19:12, 01/09/2006 [^] [^^] [^^^] [ответить]  
  • +/
    А для этого нужны freeradius либо radiusclient? Если можно - дай ссылку на мануал или конфиги.
     
     
  • 6.26, goal (??), 23:05, 27/10/2006 [^] [^^] [^^^] [ответить]  
  • +/
    >А для этого нужны freeradius либо radiusclient? Если можно - дай ссылку
    >на мануал или конфиги.

    mpd уже содержит в себе радиус-клиента, нужно только указать IP радиус сервера (пусть хоть виндовый IAS)

     

  • 1.20, spherix (?), 21:45, 29/08/2006 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    2dm
    А с радиусом он общается plain text'ом?
     
  • 1.22, CocoBrice (ok), 18:12, 08/09/2006 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Это понравилось больше.
    http://www.opennet.dev/base/net/poptop_win2k.txt.html
     
  • 1.31, Кирилл (??), 17:28, 04/07/2007 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А как эта схема уживается с сетевыми экранами?
    И не мог бы автор дать ссылку на документацию, в которой описывается способ связать OpenRadius с Kerberos?
     
  • 1.32, Кирилл (??), 17:40, 04/07/2007 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Да, и как с NAT-ом быть в данном случае?
     
  • 1.33, myatz (?), 16:38, 23/10/2007 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Сильно сложно:
    1. Samba прикручивать для авторизации по запросу сторонних приложений это вообще
       карусель (и pam_winbind - изврат до-Win2000 периода) ... freeRADIUS имеет
       модули rlm_krb5 и rlm_ldap - любой из которых авторизирует пользователя
       через AD, однако и freeRADIUS не нужен...

    1. Как уже говорилось в WinServer есть встроенный RADIUS-сервер который нормально
       работает хоть и недостаточно гибок в настройке - но для указанных целей
       подойдет с головой (у нас работал для доступа на Cisco-девайсы но позже перешли
       на freeRADIUS - вот там настаивай разных схем авторизации/автентификации - сколько
       фантазии хватит - да и безопаснее администраторов актива после AD-проверки еще в
       одном месте проверить), но RADIUS вообще не нужеен...  

    2. "Mpd also includes many additional features: ... Different authentication
       and accounting methods (RADIUS, PAM, script, file, ...)..."
       Из чего следует - фанаты Kerberos берут связку (pam_krb5 -> AD) или GSS-API ->
       libkrb5 -> AD, а кому удобнее LDAP: (pam_ldap -> AD) или (скрипт с вызовом
       OpenLDAP-client -> AD) и вообще без промежуточных Samba/Radius'ов...

     


     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:




    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру