Было дано:
- Домен на Windows2003 с поднятым Kerberos.
- FreeBSD на шлюзе, куда должны были подключаться пользователи.
- VPN-демон mpd.Задача: заставить mpd брать пароли из домена.
Решение:
- Ставим третью самбу с поддержкой кербероса.
- Настраиваем керберос
- Подсоединяем самбу в домен.
- Оставляем от нее только winbindd
- Ставим freeradius.
- Сцепляем радиус с самбой.
- Скручиваем mpd с радиусом и настраиваем сам mpd.Итог: управляем учетными записями VPN-пользователей через обычные средства AD,
а не пишем руками данные в файл.Примечание1. Документация гласит, что можно связать радиус с керберосом.
То есть теоретически можно отказаться от самбы. Я так не делал,
поскольку подцепить через самбу мне лично было проще.Примечание2. Если использовать poptop, то можно не использовать
радиус, а использовать ntlm_auth из самбы. Тоже вариант.
URL:
Обсуждается: http://www.opennet.me/tips/info/1058.shtml
а почему бы просто не использовать IAS?
В этом случает пользовать IAS думаю будет правильнее.Второй вариант с поптоп похуже, потому как не будет известно - есть ли у пользователя право dial-in, придётся самому узнавать через туже SAMBA'у или через LDAP
IAS кстати штука глюкавая, но в целом правильный бекап с правильным автовосстановлением это дело исправляет
О, у меня год назад на дипломе один из пунктов его было реализовать такое. Сколько искал в инете по этому поводу доки-не нашел :(
Реализвал кривовато, генерил хеши на винде, копировал на фрю. Пропатчил мпд чтобы он делал хеши, потом сравнивал.
Пожалуста, Поделись Конфигами ...
Очень нада ...
А что за IAS ?
Моими конфигами?
А не проще ли поднять на котроллере домена Radius Service (RRAS) и сказать мпд авторизовать через него, не трогая кривой видюковый керберос и еще более кривой иас?
RRAS - Routing and Remote Access Service - что не есть Radius Service
в случае использования RRAS придётся юзать один из EAP, MSCHAP, MSCHAP2 или пользовать IPSec - что не есть легче.
IAS - как раз и есть Radius Service
Что такое RRAS, я и без вас знаю, батенька. Вам бы не мешало бы внимательно почитать и про IAS.
Радиус-функционал доступен в виндюках и без IAS.
Это вам надо читать.
Иначе такое - "А не проще ли поднять на котроллере домена Radius Service (RRAS) и сказать мпд авторизовать через него, не трогая кривой видюковый керберос и еще более кривой иас?" - не говорили бы.
В RRAS RADIUS сервер можно подцепить, но никак его сам RRAS не реализует. И в любом случае связать RRAS с mpd связать сложнее чем заюзать радиус через mpd. Ну и последне в поставку Windows RADIUS сервер входит только один - IAS.
И еще. Я так и не понял, в чем сложность использования EAP, MSCHAP, MSCHAP2, IPSec?
>И еще. Я так и не понял, в чем сложность использования EAP,
>MSCHAP, MSCHAP2, IPSec?
И что тут непонятно?
Что проще, настроить логин юзеров по радиус или настроить логин по всяким mschap(2), eap?
В-общем, не обязательно на контроллере, а на любом сервере-члене домена.
Интересуют конфиги радиуса
Как заставить ево брать логины и пароли с Active Directory ???
Привет!
Хочу посмотреть твои настройки, вот тоже занялся этой темой.
vsityz@mail.ru
>Интересуют конфиги радиуса
>Как заставить ево брать логины и пароли с Active Directory ???брать? логины можешь брать через nss_ldap -> AD если нужны, пароли из AD не взять никак (точнее есть способ - его для интеграции с е-директори по-памяти пользуют, в общих чертах: для паролей в AD задаешь тип обратимого криптования и ставишь на контроллере агент - дающий их по запросу е-директори, но за такие методы по рукам клавиатурой бить трэба)
а вот проверять логин/пароль в AD есть два способа: rlm_ldap или rlm_krb5 на выбор (первый лучше и более гибкий, со вторым нужен легкий секс), есть еще правда rlm_pam+pam_ldap, rlm_pam+pam_krb5 (что то же самое, только в извращенной форме, плюс секса больше - pam_krb5 не пустит если пользователя в юникс нет, значит еще нужен и nss_ldap+AD и т.д, но работоспособно в принципе) и rlm_pam+pam_winbind (чего лично я против - ибо winbind только для крайних случаев) ну еще из изврата могу предложить авторизацию по скрипту - а из ldap-search, kerberos клиент, ntlmauth - второй вариант но уже хардкор полный
Никто нехотел поделиться конфигами ,пришлось рыть самому ...
И у меня всьо получилось !
Если кому нада раскажу как ...
binladin собака мыло ру - если не жалко делись - как раз думаю над этим
2 Taras:
Я добавил свои конфиги достаточно давно.
Посмотри еще раз на конец новости.
Можем пообщаться и сравнить ;)
С конфигами у меня похоже
у меня проблема щас в том что Винда несоединяется с шифрованием ...
Без шифрования всьо ОК :(
А mppc в ядро кто грузить будет ? Тятькин ? ;)
MPD очень легко интегрируется с radiusом который в винде.а с MPD4 даже получилось использование Alladin E-Token.
Так что все что выше - полный велосипед.
А для этого нужны freeradius либо radiusclient? Если можно - дай ссылку на мануал или конфиги.
>А для этого нужны freeradius либо radiusclient? Если можно - дай ссылку
>на мануал или конфиги.mpd уже содержит в себе радиус-клиента, нужно только указать IP радиус сервера (пусть хоть виндовый IAS)
2dm
А с радиусом он общается plain text'ом?
Это понравилось больше.
http://www.opennet.me/base/net/poptop_win2k.txt.html
А как эта схема уживается с сетевыми экранами?
И не мог бы автор дать ссылку на документацию, в которой описывается способ связать OpenRadius с Kerberos?
Да, и как с NAT-ом быть в данном случае?
Сильно сложно:
1. Samba прикручивать для авторизации по запросу сторонних приложений это вообще
карусель (и pam_winbind - изврат до-Win2000 периода) ... freeRADIUS имеет
модули rlm_krb5 и rlm_ldap - любой из которых авторизирует пользователя
через AD, однако и freeRADIUS не нужен...1. Как уже говорилось в WinServer есть встроенный RADIUS-сервер который нормально
работает хоть и недостаточно гибок в настройке - но для указанных целей
подойдет с головой (у нас работал для доступа на Cisco-девайсы но позже перешли
на freeRADIUS - вот там настаивай разных схем авторизации/автентификации - сколько
фантазии хватит - да и безопаснее администраторов актива после AD-проверки еще в
одном месте проверить), но RADIUS вообще не нужеен...2. "Mpd also includes many additional features: ... Different authentication
and accounting methods (RADIUS, PAM, script, file, ...)..."
Из чего следует - фанаты Kerberos берут связку (pam_krb5 -> AD) или GSS-API ->
libkrb5 -> AD, а кому удобнее LDAP: (pam_ldap -> AD) или (скрипт с вызовом
OpenLDAP-client -> AD) и вообще без промежуточных Samba/Radius'ов...