The OpenNET Project: Интеграция VPN на базе mpd в Active Directory.

Интеграция VPN на базе mpd в Active Directory.	[исправить]
Было дано: - Домен на Windows2003 с поднятым Kerberos. - FreeBSD на шлюзе, куда должны были подключаться пользователи. - VPN-демон mpd. Задача: заставить mpd брать пароли из домена. Решение: - Ставим третью самбу с поддержкой кербероса. - Настраиваем керберос - Подсоединяем самбу в домен. - Оставляем от нее только winbindd - Ставим freeradius. - Сцепляем радиус с самбой. - Скручиваем mpd с радиусом и настраиваем сам mpd. Итог: управляем учетными записями VPN-пользователей через обычные средства AD, а не пишем руками данные в файл. Примечание1. Документация гласит, что можно связать радиус с керберосом. То есть теоретически можно отказаться от самбы. Я так не делал, поскольку подцепить через самбу мне лично было проще. Примечание2. Если использовать poptop, то можно не использовать радиус, а использовать ntlm_auth из самбы. Тоже вариант. Файлы конфигурации: http://www.opennet.dev/base/net/mpd_win2003.txt.html


12.07.2006 , Автор: spherix Ключи: mpd, vpn, radius, samba / Лицензия: CC-BY
Раздел: Корень / Администратору / Сетевые сервисы / Samba

Обсуждение

[ Линейный режим | Показать все | RSS ]

1.1, Анонимус (?), 13:44, 13/07/2006 [ответить] [﹢﹢﹢] [ · · · ] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]	+/–
а почему бы просто не использовать IAS?

1.2, RNZ (ok), 01:56, 14/07/2006 [ответить] [﹢﹢﹢] [ · · · ] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]

+/–

В этом случает пользовать IAS думаю будет правильнее.

Второй вариант с поптоп похуже, потому как не будет известно - есть ли у пользователя право dial-in, придётся самому узнавать через туже SAMBA'у или через LDAP

IAS кстати штука глюкавая, но в целом правильный бекап с правильным автовосстановлением это дело исправляет

1.3, Andrey (??), 19:20, 14/07/2006 [ответить] [﹢﹢﹢] [ · · · ] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]	+/–
О, у меня год назад на дипломе один из пунктов его было реализовать такое. Сколько искал в инете по этому поводу доки-не нашел :( Реализвал кривовато, генерил хеши на винде, копировал на фрю. Пропатчил мпд чтобы он делал хеши, потом сравнивал.

1.4, Taras (??), 00:57, 20/07/2006 [ответить] [﹢﹢﹢] [ · · · ] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]	+/–
Пожалуста, Поделись Конфигами ... Очень нада ...

1.5, eGuru (ok), 21:43, 20/07/2006 [ответить] [﹢﹢﹢] [ · · · ] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]	+/–
А что за IAS ?

1.6, Andrey (??), 17:48, 21/07/2006 [ответить] [﹢﹢﹢] [ · · · ] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]	+/–
Моими конфигами?

1.7, LamerAdmin (?), 20:28, 21/07/2006 [ответить] [﹢﹢﹢] [ · · · ] [↓] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]	+/–
А не проще ли поднять на котроллере домена Radius Service (RRAS) и сказать мпд авторизовать через него, не трогая кривой видюковый керберос и еще более кривой иас?

2.9, RNZ (??), 00:39, 23/07/2006 [^] [^^] [^^^] [ответить] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]	+/–
RRAS - Routing and Remote Access Service - что не есть Radius Service в случае использования RRAS придётся юзать один из EAP, MSCHAP, MSCHAP2 или пользовать IPSec - что не есть легче. IAS - как раз и есть Radius Service

3.11, LamerAdmin (?), 09:52, 24/07/2006 [^] [^^] [^^^] [ответить] [↓] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]	+/–
Что такое RRAS, я и без вас знаю, батенька. Вам бы не мешало бы внимательно почитать и про IAS. Радиус-функционал доступен в виндюках и без IAS.

4.17, RNZ (ok), 19:36, 13/08/2006 [^] [^^] [^^^] [ответить] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]	+/–
Это вам надо читать. Иначе такое - "А не проще ли поднять на котроллере домена Radius Service (RRAS) и сказать мпд авторизовать через него, не трогая кривой видюковый керберос и еще более кривой иас?" - не говорили бы. В RRAS RADIUS сервер можно подцепить, но никак его сам RRAS не реализует. И в любом случае связать RRAS с mpd связать сложнее чем заюзать радиус через mpd. Ну и последне в поставку Windows RADIUS сервер входит только один - IAS.

3.12, LamerAdmin (?), 09:54, 24/07/2006 [^] [^^] [^^^] [ответить] [↑] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]	+/–
И еще. Я так и не понял, в чем сложность использования EAP, MSCHAP, MSCHAP2, IPSec?

4.16, RNZ (ok), 19:28, 13/08/2006 [^] [^^] [^^^] [ответить] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]

+/–

>И еще. Я так и не понял, в чем сложность использования EAP,
>MSCHAP, MSCHAP2, IPSec?
И что тут непонятно?
Что проще, настроить логин юзеров по радиус или настроить логин по всяким mschap(2), eap?

1.8, LamerAdmin (?), 20:29, 21/07/2006 [ответить] [﹢﹢﹢] [ · · · ] [↑] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]	+/–
В-общем, не обязательно на контроллере, а на любом сервере-члене домена.

1.10, Taras (??), 11:20, 23/07/2006 [ответить] [﹢﹢﹢] [ · · · ] [↓] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]	+/–
Интересуют конфиги радиуса Как заставить ево брать логины и пароли с Active Directory ???

2.30, daemon17 (ok), 18:06, 05/12/2006 [^] [^^] [^^^] [ответить] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]	+/–
Привет! Хочу посмотреть твои настройки, вот тоже занялся этой темой. vsityz@mail.ru

2.34, myatz (?), 23:36, 21/11/2007 [^] [^^] [^^^] [ответить] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]	+/–
>Интересуют конфиги радиуса >Как заставить ево брать логины и пароли с Active Directory ??? брать? логины можешь брать через nss_ldap -> AD если нужны, пароли из AD не взять никак (точнее есть способ - его для интеграции с е-директори по-памяти пользуют, в общих чертах: для паролей в AD задаешь тип обратимого криптования и ставишь на контроллере агент - дающий их по запросу е-директори, но за такие методы по рукам клавиатурой бить трэба) а вот проверять логин/пароль в AD есть два способа: rlm_ldap или rlm_krb5 на выбор (первый лучше и более гибкий, со вторым нужен легкий секс), есть еще правда rlm_pam+pam_ldap, rlm_pam+pam_krb5 (что то же самое, только в извращенной форме, плюс секса больше - pam_krb5 не пустит если пользователя в юникс нет, значит еще нужен и nss_ldap+AD и т.д, но работоспособно в принципе) и rlm_pam+pam_winbind (чего лично я против - ибо winbind только для крайних случаев) ну еще из изврата могу предложить авторизацию по скрипту - а из ldap-search, kerberos клиент, ntlmauth - второй вариант но уже хардкор полный

1.13, Taras (??), 19:45, 30/07/2006 [ответить] [﹢﹢﹢] [ · · · ] [↓] [↑] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]	+/–
Никто нехотел поделиться конфигами ,пришлось рыть самому ... И у меня всьо получилось ! Если кому нада раскажу как ...

2.23, binladin (?), 16:52, 12/09/2006 [^] [^^] [^^^] [ответить] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]	+/–
binladin собака мыло ру - если не жалко делись - как раз думаю над этим

1.14, SpheriX (?), 02:10, 31/07/2006 [ответить] [﹢﹢﹢] [ · · · ] [↓] [↑] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]	+/–
2 Taras: Я добавил свои конфиги достаточно давно. Посмотри еще раз на конец новости. Можем пообщаться и сравнить ;)

2.15, Taras (??), 20:11, 10/08/2006 [^] [^^] [^^^] [ответить] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]	+/–
С конфигами у меня похоже у меня проблема щас в том что Винда несоединяется с шифрованием ... Без шифрования всьо ОК :(

3.18, SpheriX (?), 19:26, 22/08/2006 [^] [^^] [^^^] [ответить] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]	+/–
А mppc в ядро кто грузить будет ? Тятькин ? ;)

4.19, dm (??), 16:23, 27/08/2006 [^] [^^] [^^^] [ответить] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]

+/–

MPD очень легко интегрируется с radiusом который в винде.

а с MPD4 даже получилось использование Alladin E-Token.

Так что все что выше - полный велосипед.

5.21, max3 (ok), 19:12, 01/09/2006 [^] [^^] [^^^] [ответить] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]	+/–
А для этого нужны freeradius либо radiusclient? Если можно - дай ссылку на мануал или конфиги.

6.26, goal (??), 23:05, 27/10/2006 [^] [^^] [^^^] [ответить] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]

+/–

>А для этого нужны freeradius либо radiusclient? Если можно - дай ссылку
>на мануал или конфиги.

mpd уже содержит в себе радиус-клиента, нужно только указать IP радиус сервера (пусть хоть виндовый IAS)

1.20, spherix (?), 21:45, 29/08/2006 [ответить] [﹢﹢﹢] [ · · · ] [↑] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]	+/–
2dm А с радиусом он общается plain text'ом?

1.22, CocoBrice (ok), 18:12, 08/09/2006 [ответить] [﹢﹢﹢] [ · · · ] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]	+/–
Это понравилось больше. http://www.opennet.dev/base/net/poptop_win2k.txt.html

1.31, Кирилл (??), 17:28, 04/07/2007 [ответить] [﹢﹢﹢] [ · · · ] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]	+/–
А как эта схема уживается с сетевыми экранами? И не мог бы автор дать ссылку на документацию, в которой описывается способ связать OpenRadius с Kerberos?

1.32, Кирилл (??), 17:40, 04/07/2007 [ответить] [﹢﹢﹢] [ · · · ] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]	+/–
Да, и как с NAT-ом быть в данном случае?

1.33, myatz (?), 16:38, 23/10/2007 [ответить] [﹢﹢﹢] [ · · · ] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]

+/–

Сильно сложно:
1. Samba прикручивать для авторизации по запросу сторонних приложений это вообще
   карусель (и pam_winbind - изврат до-Win2000 периода) ... freeRADIUS имеет
   модули rlm_krb5 и rlm_ldap - любой из которых авторизирует пользователя
   через AD, однако и freeRADIUS не нужен...

1. Как уже говорилось в WinServer есть встроенный RADIUS-сервер который нормально
   работает хоть и недостаточно гибок в настройке - но для указанных целей
   подойдет с головой (у нас работал для доступа на Cisco-девайсы но позже перешли
   на freeRADIUS - вот там настаивай разных схем авторизации/автентификации - сколько
   фантазии хватит - да и безопаснее администраторов актива после AD-проверки еще в
   одном месте проверить), но RADIUS вообще не нужеен...

2. "Mpd also includes many additional features: ... Different authentication
   and accounting methods (RADIUS, PAM, script, file, ...)..."
   Из чего следует - фанаты Kerberos берут связку (pam_krb5 -> AD) или GSS-API ->
   libkrb5 -> AD, а кому удобнее LDAP: (pam_ldap -> AD) или (скрипт с вызовом
   OpenLDAP-client -> AD) и вообще без промежуточных Samba/Radius'ов...

игнорирование участников | лог модерирования

Добавить комментарий

Имя:
E-Mail:
Заголовок:
Текст: