The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"mpd5: авторизация из двух доменов"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Открытые системы на сервере (Dialup, PPP / FreeBSD)
Изначальное сообщение [ Отслеживать ]

"mpd5: авторизация из двух доменов"  +/
Сообщение от demchenko email on 13-Сен-10, 10:08 
Доброго времени суток!

Есть шлюз с Freebsd 8.1R, на нем стоит mpd5.5 в качестве сервера с авторизаций из AD (на контроллере домена поднята служба IAS, mpd использует ее в качестве radius-сервера).
Есть 2 домена между которыми установлены доверительные отношения, IAS может авторизовать пользователей из обоих доменов (проверял на виндовой ISA, подключенной к тому же IAS серверу). А вот mpd дает подключаться только тем, кто находится в основном домене, пользователям из доверенного домена не дает подключиться.
Судя по логам IAS сервера, mpd не передает ему имя домена, соответственно используется значение по-дефолту и, в случае пользователей из другого домена, авторизация не проходит.

Можно ли как-то заставить mpd передавать имя домена? или еще каким образом решить вопрос подключения пользователей из разных доменов?

конфиг стандартный:


startup:
default:
    load pptp_server
pptp_server:
    set ippool add pool1 10.0.0.200 10.0.0.230
    create bundle template B
    set iface enable proxy-arp
    set iface idle 1800
    set iface enable tcpmssfix
    set ipcp yes vjcomp
    set ipcp ranges 10.0.10.1/32 ippool pool1
    set ipcp dns 10.0.10.3
    set ipcp nbns 10.0.10.3
    set bundle enable compression
    set ccp yes mppc
    set mppc yes e40
    set mppc yes e128
    set mppc yes stateless
    create link template L pptp
    set link action bundle B
    set link enable multilink
    set link yes acfcomp protocomp
    set link no pap chap
    set link enable chap
    load radius
    set link keep-alive 10 60
    set link mtu 1460
    set link enable incoming

radius:
    set radius server ias-srv.domain.ru somekey 1812 1813
    set radius retries 3
    set radius timeout 3
    set radius me 10.0.10.1
    set auth acct-update 300
    set auth enable radius-auth
    set auth enable radius-acct
    set radius enable message-authentic


Высказать мнение | Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "mpd5: авторизация из двух доменов"  +/
Сообщение от YuryD (??) on 13-Сен-10, 10:39 
>Доброго времени суток!
>Можно ли как-то заставить mpd передавать имя домена? или еще каким образом
>решить вопрос подключения пользователей из разных доменов?

user@domain авторизацию не пробовали ?

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

2. "mpd5: авторизация из двух доменов"  +/
Сообщение от demchenko email on 13-Сен-10, 10:44 
>>Доброго времени суток!
>>Можно ли как-то заставить mpd передавать имя домена? или еще каким образом
>>решить вопрос подключения пользователей из разных доменов?
>
> user@domain авторизацию не пробовали ?

в смысле на клиенте прописывать в имени: user@domain? пробовал, те же грабли. Тогда в логах IAS в качестве пользователя фигурирует "domain\user@domain2"

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

3. "mpd5: авторизация из двух доменов"  +/
Сообщение от demchenko email on 14-Сен-10, 11:04 
Нашел решение, оказалось все просто:

set link enable keep-ms-domain

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру