1.2, RNZ (ok), 01:56, 14/07/2006 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
В этом случает пользовать IAS думаю будет правильнее.
Второй вариант с поптоп похуже, потому как не будет известно - есть ли у пользователя право dial-in, придётся самому узнавать через туже SAMBA'у или через LDAP
IAS кстати штука глюкавая, но в целом правильный бекап с правильным автовосстановлением это дело исправляет | |
1.3, Andrey (??), 19:20, 14/07/2006 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
О, у меня год назад на дипломе один из пунктов его было реализовать такое. Сколько искал в инете по этому поводу доки-не нашел :(
Реализвал кривовато, генерил хеши на винде, копировал на фрю. Пропатчил мпд чтобы он делал хеши, потом сравнивал.
| |
1.7, LamerAdmin (?), 20:28, 21/07/2006 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
А не проще ли поднять на котроллере домена Radius Service (RRAS) и сказать мпд авторизовать через него, не трогая кривой видюковый керберос и еще более кривой иас? | |
|
2.9, RNZ (??), 00:39, 23/07/2006 [^] [^^] [^^^] [ответить]
| +/– |
RRAS - Routing and Remote Access Service - что не есть Radius Service
в случае использования RRAS придётся юзать один из EAP, MSCHAP, MSCHAP2 или пользовать IPSec - что не есть легче.
IAS - как раз и есть Radius Service | |
|
3.11, LamerAdmin (?), 09:52, 24/07/2006 [^] [^^] [^^^] [ответить]
| +/– |
Что такое RRAS, я и без вас знаю, батенька. Вам бы не мешало бы внимательно почитать и про IAS.
Радиус-функционал доступен в виндюках и без IAS. | |
|
4.17, RNZ (ok), 19:36, 13/08/2006 [^] [^^] [^^^] [ответить]
| +/– |
Это вам надо читать.
Иначе такое - "А не проще ли поднять на котроллере домена Radius Service (RRAS) и сказать мпд авторизовать через него, не трогая кривой видюковый керберос и еще более кривой иас?" - не говорили бы.
В RRAS RADIUS сервер можно подцепить, но никак его сам RRAS не реализует. И в любом случае связать RRAS с mpd связать сложнее чем заюзать радиус через mpd. Ну и последне в поставку Windows RADIUS сервер входит только один - IAS.
| |
|
3.12, LamerAdmin (?), 09:54, 24/07/2006 [^] [^^] [^^^] [ответить]
| +/– |
И еще. Я так и не понял, в чем сложность использования EAP, MSCHAP, MSCHAP2, IPSec? | |
|
4.16, RNZ (ok), 19:28, 13/08/2006 [^] [^^] [^^^] [ответить]
| +/– |
>И еще. Я так и не понял, в чем сложность использования EAP,
>MSCHAP, MSCHAP2, IPSec?
И что тут непонятно?
Что проще, настроить логин юзеров по радиус или настроить логин по всяким mschap(2), eap?
| |
|
|
|
1.10, Taras (??), 11:20, 23/07/2006 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Интересуют конфиги радиуса
Как заставить ево брать логины и пароли с Active Directory ??? | |
|
2.30, daemon17 (ok), 18:06, 05/12/2006 [^] [^^] [^^^] [ответить]
| +/– |
Привет!
Хочу посмотреть твои настройки, вот тоже занялся этой темой.
vsityz@mail.ru
| |
2.34, myatz (?), 23:36, 21/11/2007 [^] [^^] [^^^] [ответить]
| +/– |
>Интересуют конфиги радиуса
>Как заставить ево брать логины и пароли с Active Directory ???
брать? логины можешь брать через nss_ldap -> AD если нужны, пароли из AD не взять никак (точнее есть способ - его для интеграции с е-директори по-памяти пользуют, в общих чертах: для паролей в AD задаешь тип обратимого криптования и ставишь на контроллере агент - дающий их по запросу е-директори, но за такие методы по рукам клавиатурой бить трэба)
а вот проверять логин/пароль в AD есть два способа: rlm_ldap или rlm_krb5 на выбор (первый лучше и более гибкий, со вторым нужен легкий секс), есть еще правда rlm_pam+pam_ldap, rlm_pam+pam_krb5 (что то же самое, только в извращенной форме, плюс секса больше - pam_krb5 не пустит если пользователя в юникс нет, значит еще нужен и nss_ldap+AD и т.д, но работоспособно в принципе) и rlm_pam+pam_winbind (чего лично я против - ибо winbind только для крайних случаев) ну еще из изврата могу предложить авторизацию по скрипту - а из ldap-search, kerberos клиент, ntlmauth - второй вариант но уже хардкор полный
| |
|
1.13, Taras (??), 19:45, 30/07/2006 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Никто нехотел поделиться конфигами ,пришлось рыть самому ...
И у меня всьо получилось !
Если кому нада раскажу как ... | |
1.14, SpheriX (?), 02:10, 31/07/2006 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
2 Taras:
Я добавил свои конфиги достаточно давно.
Посмотри еще раз на конец новости.
Можем пообщаться и сравнить ;) | |
|
2.15, Taras (??), 20:11, 10/08/2006 [^] [^^] [^^^] [ответить]
| +/– |
С конфигами у меня похоже
у меня проблема щас в том что Винда несоединяется с шифрованием ...
Без шифрования всьо ОК :( | |
|
|
4.19, dm (??), 16:23, 27/08/2006 [^] [^^] [^^^] [ответить]
| +/– |
MPD очень легко интегрируется с radiusом который в винде.
а с MPD4 даже получилось использование Alladin E-Token.
Так что все что выше - полный велосипед. | |
|
5.21, max3 (ok), 19:12, 01/09/2006 [^] [^^] [^^^] [ответить]
| +/– |
А для этого нужны freeradius либо radiusclient? Если можно - дай ссылку на мануал или конфиги. | |
|
6.26, goal (??), 23:05, 27/10/2006 [^] [^^] [^^^] [ответить]
| +/– |
>А для этого нужны freeradius либо radiusclient? Если можно - дай ссылку
>на мануал или конфиги.
mpd уже содержит в себе радиус-клиента, нужно только указать IP радиус сервера (пусть хоть виндовый IAS)
| |
|
|
|
|
|
1.31, Кирилл (??), 17:28, 04/07/2007 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
А как эта схема уживается с сетевыми экранами?
И не мог бы автор дать ссылку на документацию, в которой описывается способ связать OpenRadius с Kerberos? | |
1.33, myatz (?), 16:38, 23/10/2007 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Сильно сложно:
1. Samba прикручивать для авторизации по запросу сторонних приложений это вообще
карусель (и pam_winbind - изврат до-Win2000 периода) ... freeRADIUS имеет
модули rlm_krb5 и rlm_ldap - любой из которых авторизирует пользователя
через AD, однако и freeRADIUS не нужен...
1. Как уже говорилось в WinServer есть встроенный RADIUS-сервер который нормально
работает хоть и недостаточно гибок в настройке - но для указанных целей
подойдет с головой (у нас работал для доступа на Cisco-девайсы но позже перешли
на freeRADIUS - вот там настаивай разных схем авторизации/автентификации - сколько
фантазии хватит - да и безопаснее администраторов актива после AD-проверки еще в
одном месте проверить), но RADIUS вообще не нужеен...
2. "Mpd also includes many additional features: ... Different authentication
and accounting methods (RADIUS, PAM, script, file, ...)..."
Из чего следует - фанаты Kerberos берут связку (pam_krb5 -> AD) или GSS-API ->
libkrb5 -> AD, а кому удобнее LDAP: (pam_ldap -> AD) или (скрипт с вызовом
OpenLDAP-client -> AD) и вообще без промежуточных Samba/Radius'ов...
| |
|