Возможно вы искали: 'Police Quest: In Pursu...'

May 15 2025 19:30:01

Статистика

Статей: 87772
Просмотров: 96111483

Игры

Injustice: Gods Among Us ...
Dark Souls 2 Dark Souls II - вторая часть самой хардкорной ролевой игры 2011-2012 года, с новым героем, сюжето...
Battlefield 4 Battlefield 4 - продолжение венценосного мультиплеер-ориентированного шутера от первого ли...

Кино

Steins;Gate Любители японской анимации уже давно поняли ,что аниме сериалы могут дать порой гораздо больше пи...
Ку! Кин-дза-дза Начинающий диджей Толик и всемирно известный виолончелист Владимир Чижов встречают на шумной моск...

Обзоры на игры

• Обзор Ibara [PCB/PS2]	18357
• Обзор The Walking ...	18801
• Обзор DMC: Devil M...	19879
• Обзор на игру Valk...	15877
• Обзор на игру Stars!	17764
• Обзор на Far Cry 3	17948
• Обзор на Resident ...	16024
• Обзор на Chivalry:...	17508
• Обзор на игру Kerb...	17981
• Обзор игры 007: Fr...	16619

Превью о играх

• Превью к игре Comp...	17960
• Превью о игре Mage...	14464
• Превью Incredible ...	14721
• Превью Firefall	13479
• Превью Dead Space 3	16334
• Превью о игре SimC...	14730
• Превью к игре Fuse	15442
• Превью Red Orche...	15542
• Превью Gothic 3	16343
• Превью Black & W...	17354

Главная » Статьи » Разное » Интеграция VPN на базе mpd в Active Directory. (freebsd vpn win ldap radius samba)

Интеграция VPN на базе mpd в Active Directory. (freebsd vpn win ldap radius samba)

Ключевые слова: freebsd, vpn, win, ldap, radius, samba, (найти похожие документы)

From: SpheriX <spherix@koguhovo.net.>
Newsgroups: email
Date: Mon, 26 Jul 2006 14:31:37 +0000 (UTC)
Subject: Интеграция VPN на базе mpd в Active Directory.

Я писал совет http://www.opennet.ru/tips/info/1058.shtml

Теперь делюсь конфигами.

Собственно, на истинность и пряморукость не претендую, посему мнения и
комментарии гуру будут очень важны и будут учтены в последующих
редакциях хауту, но... как начальное и _рабочее_ решение для новичков
подойдет. Возможно, коллективно сделаем полный мануал по теме.

Кто-то скажет, что я бью микроскопом по гвоздям... Возможно ;)
Напишите с конфигами как сделать лучше ;)

Дано:

- Домен на Windows2003, настроен керберос, шлюз на фряхе.

- Ядро собрано с поддержкой mppe, mppc и тунелей.

- Установлен mpd.

Надо заставить mpd авторизоваться в домене, причем используя керберос
(таково ТЗ).

Итак, начинаем.

Samba3

Собираем с поддержкой ADS и WINBIND

В smb.conf должно присутствовать следующее:

[global]
workgroup = MYNETWORK
security = ADS
password server = DC.MYNETWORK.LOCAL //AD-server
realm =MYNETWORK.LOCAL //realm

Теперь настраиваем керберос:

/etc/krb5.conf

[libdefaults]
ticket_lifetime = 24000
default_realm = MYNETWORK.LOCAL
dns_lookup_realm = false
dns_lookup_kdc = false

[realms]
PRESSEXPO.RU = {
kdc = 192.168.0.2:88 //IP доменконтроллера.
admin_server = 192.168.0.2:749
default_domain = mynetwork.local
}

[domain_realm]
.mynetwork.local = mynetwork.local
mynetwork.local = mynetwork.local

[logging]
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmin.log
default = FILE:/var/log/krb5lib.log

[pam]
debug = false
ticket_lifetime = 36000
renew_lifetime = 36000
forwardable = true
krb4_convert = false

Настраиваем загрузочные скрипты Самбы, стартуем ее.

Нам нужен работающий демон winbindd.

Загоняем в домен:

#net ads join -I 192.168.0.2 -U <учетка админа, имеющего право заводить машины в домен>

Проверяем работу.

wbinfo -p
wbinfo -g
wbinfo -u

Должны увидеть сначала, что winbindd доступен, затем список групп,
затем список пользователей.

Ставим и настраиваем freeradius.

/etc/radius.conf

auth 127.0.0.1:1812 "password-changeme" 5 4
cd /usr/local/etc/raddb

clients.conf

client 127.0.0.1 {
secret = password-changeme
shortname = 127.0.0.1
nastype = other
}

Файл clients пустой.

В файле acct_users :

DEFAULT
Service-Type == Framed-User,
Service-Type == Login-User,
Login-Service == Telnet,
Login-Service == Rlogin,
Login-Service == TCP-Clear,
Login-TCP-Port <= 65536,
Framed-IP-Address == 255.255.255.254,
Framed-IP-Netmask == 255.255.255.255,
Framed-Protocol == PPP,
Framed-Protocol == SLIP,
Framed-Compression == Van-Jacobson-TCP-IP,
Framed-MTU >= 576,
Framed-Filter-ID =* ANY,
Reply-Message =* ANY,
Proxy-State =* ANY,
Session-Timeout <= 28800,
Idle-Timeout <= 600,
Port-Limit <= 2

В файле attrs

DEFAULT
Service-Type == Framed-User,
Service-Type == Login-User,
Login-Service == Telnet,
Login-Service == Rlogin,
Login-Service == TCP-Clear,
Login-TCP-Port <= 65536,
Framed-IP-Address == 255.255.255.254,
Framed-IP-Netmask == 255.255.255.255,
Framed-Protocol == PPP,
Framed-Protocol == SLIP,
Framed-Compression == Van-Jacobson-TCP-IP,
Framed-MTU >= 576,
Framed-Filter-ID =* ANY,
Reply-Message =* ANY,
Proxy-State =* ANY,
Session-Timeout <= 28800,
Idle-Timeout <= 600,
Port-Limit <= 2

В файле dictionary

$INCLUDE /usr/local/share/freeradius/dictionary
$INCLUDE /usr/local/share/freeradius/dictionary.microsoft

В файле eap.conf

eap {
default_eap_type = md5
timer_expire = 60
ignore_unknown_eap_types = no
cisco_accounting_username_bug = no

md5 {
}

leap {
}

gtc {
auth_type = PAP
}

mschapv2 {
}

}

В файле radiusd.conf

prefix = /usr/local
exec_prefix = ${prefix}
sysconfdir = ${prefix}/etc
localstatedir = /var
sbindir = ${exec_prefix}/sbin
logdir = /var/log
raddbdir = ${sysconfdir}/raddb
radacctdir = ${logdir}/radacct
confdir = ${raddbdir}
run_dir = ${localstatedir}/run/radiusd
log_file = ${logdir}/radius.log
libdir = ${exec_prefix}/lib
pidfile = ${run_dir}/radiusd.pid
user = nobody
group = nobody
max_request_time = 30
delete_blocked_requests = no
cleanup_delay = 5
max_requests = 1024

listen {
ipaddr = 127.0.0.1
port = 0
type = auth
}

hostname_lookups = no
allow_core_dumps = no
regular_expressions = yes
extended_expressions = yes
log_stripped_names = no
log_auth = yes
log_auth_badpass = yes
log_auth_goodpass = yes
usercollide = no
lower_user = no
lower_pass = no
nospace_user = no
nospace_pass = no
checkrad = ${sbindir}/checkrad

security {
max_attributes = 200
reject_delay = 1
status_server = no
}

proxy_requests = no
#$INCLUDE ${confdir}/proxy.conf
$INCLUDE ${confdir}/clients.conf
snmp = no
#$INCLUDE ${confdir}/snmp.conf

thread pool {
start_servers = 5
max_servers = 32
min_spare_servers = 3
max_spare_servers = 10
max_requests_per_server = 0
}

modules {

pap {
encryption_scheme = crypt
}

chap {
authtype = CHAP
}

pam {
pam_auth = radiusd
}

unix {
cache = no
cache_reload = 600
radwtmp = ${logdir}/radwtmp
}

$INCLUDE ${confdir}/eap.conf

mschap {
authtype = MS-CHAP
use_mppe = yes
require_encryption = yes
require_strong = yes
with_ntdomain_hack = yes
ntlm_auth = "/usr/local/bin/ntlm_auth --request-nt-key
--username=%{Stripped-User-Name:-%{User-Name:-None}}
--challenge=%{mschap:Challenge:-00} --nt-response=%{mschap:NT-Response:-00}"

#Можно добавить --require-membership-of=MYNETWORK+VPN-Allowed
#Тогда это должно выглядеть так:

#ntlm_auth = "/usr/local/bin/ntlm_auth --request-nt-key
# -require-membership-#of=MYNETWORK+VPN-Allowed --username=%{Stripped-User-Name:-%{User-Name:-None}}
# --challenge=%{mschap:Challenge:-00} --nt-response=%{mschap:NT-Response:-00}"

#И создать группу VPN-Allowed, в которую включать пользователей,
# которые должны иметь #доступ по ВПН. В моем случае доступ извне должны
# иметь почти все сотрудники, поэтому

#--require-membership-of я не использовал.

}

preprocess {
huntgroups = ${confdir}/huntgroups
hints = ${confdir}/hints
with_ascend_hack = no
ascend_channels_per_line = 23
with_ntdomain_hack = no
with_specialix_jetstream_hack = no
with_cisco_vsa_hack = no
}

files {
usersfile = ${confdir}/users
acctusersfile = ${confdir}/acct_users
preproxy_usersfile = ${confdir}/preproxy_users
compat = no
}

detail {
detailfile = ${radacctdir}/%{Client-IP-Address}/detail-%Y%m%d
detailperm = 0600
}

detail auth_log {
detailfile = ${radacctdir}/%{Client-IP-Address}/auth-detail-%Y%m%d
detailperm = 0600
}

detail reply_log {
detailfile = ${radacctdir}/%{Client-IP-Address}/reply-detail-%Y%m%d
detailperm = 0600
}

detail pre_proxy_log {
detailfile = ${radacctdir}/%{Client-IP-Address}/pre-proxy-detail-%Y%m%d
detailperm = 0600
}

detail post_proxy_log {
detailfile = ${radacctdir}/%{Client-IP-Address}/post-proxy-detail-%Y%m%d
detailperm = 0600
}

acct_unique {
key = "User-Name, Acct-Session-Id, NAS-IP-Address, Client-IP-Address, NAS-Port"
}

# $INCLUDE ${confdir}/sql.conf

radutmp {
filename = ${logdir}/radutmp
username = %{User-Name}
case_sensitive = yes
check_with_nas = yes
perm = 0600
callerid = "yes"
}

radutmp sradutmp {
filename = ${logdir}/sradutmp
perm = 0644
callerid = "no"
}

attr_filter {
attrsfile = ${confdir}/attrs
}

counter daily {
filename = ${raddbdir}/db.daily
key = User-Name
count-attribute = Acct-Session-Time
reset = daily
counter-name = Daily-Session-Time
check-name = Max-Daily-Session
allowed-servicetype = Framed-User
cache-size = 5000
}

always fail {
rcode = fail
}

always reject {
rcode = reject
}

always ok {
rcode = ok
simulcount = 0
mpp = no
}

expr {
}

digest {
}

exec {
wait = yes
input_pairs = request
}

ippool main_pool {
range-start = 192.168.200.160 ####В моем случае эти IP-адреса ничего
# не значат, #так как я прописывал IP клиентов в конфиге mpd
range-stop = 192.168.200.170
netmask = 255.255.255.0
cache-size = 800
session-db = ${raddbdir}/db.ippool
ip-index = ${raddbdir}/db.ipindex
override = no
maximum-timeout = 0
}
}

instantiate {
}

authorize {
preprocess
auth_log
attr_filter
mschap
eap
}

authenticate {
Auth-Type PAP {
pap
}

Auth-Type CHAP {
chap
}

Auth-Type MS-CHAP {
mschap
}

pam
eap
}

preacct {
preprocess
acct_unique
files
}

accounting {
detail
main_pool
}

session {
radutmp
}

post-auth {
main_pool
reply_log
}

pre-proxy {
}

post-proxy {
eap
}

file users
DEFAULT Auth-Type := MS-CHAP,
#User-Password == "mypwd"
Service-Type = Framed-User,
Framed-Protocol = PPP,
Framed-IP-Address = 192.168.0.161+,
Framed-IP-Netmask = 255.255.255.255,

В файле mpd.conf

default:
load pptp0
load pptp1

pptp0:
new -i ng00 pptp0 pptp0
set ipcp ranges 192.168.0.160/32 192.168.0.170/32
load pptp_standart

pptp1:
new -i ng01 pptp1 pptp1
set ipcp ranges 192.168.0.160/32 192.168.0.171/32
load pptp_standart

pptp_standart:
set iface disable on-demand
set bundle enable multilink
set link yes acfcomp protocomp
#Req chap
set link no pap chap
set link enable chap
set link keep-alive 60 180
set ipcp yes vjcomp
set ipcp dns 192.168.0.2 #IP dns
set ipcp nbns 192.168.0.2 #IP wins
set iface enable proxy-arp
set bundle enable compression
set ccp yes mppc
set ccp yes mpp-e40
set ccp yes mpp-e56
set ccp yes mpp-e128
set ccp yes mpp-stateless
set bundle yes crypt-reqd
set pptp self <ip, на котором должен висеть mpd>
set pptp enable incoming
set pptp disable originate
set iface mtu 1500
set link mtu 1500
# set iface mtu 1460
# set link mtu 1460

#Если воникают проблемы с линком с клиентом, то надо играться с mtu.
#Для начала можно #поставить 1400

#set iface up-script /usr/local/traff/up.pl
#set iface down-script /usr/local/traff/down.pl

set radius server 127.0.0.1 password-changeme 1812 1813
set radius timeout 10
set radius config /etc/radius.conf
set radius retries 3
#set bundle enable radius-acct
set bundle enable radius-auth
set ipcp yes radius-ip

Для тех, кто ни разу еще не настраивал mpd:

pptp1: #Строка в конфиге начинается без отступа.

new -i ng01 pptp1 pptp1 #В начале строки стоит знак табуляции.

set ipcp ranges 192.168.0.160/32 192.168.0.171/32 #Тоже табуляция.

Если использовать пробелы, то конфиг будет криво разбираться.

В файле mpd.links

pptp0:
set link type pptp
pptp1:
set link type pptp

mpd.secret пустой

/var/db/samba/winbindd_privileged

Проверить права радиуса на pipe. При необходимости поправить их.

Отладка:

mpd без параметров, подключаемся с виндовой машины.

Отладка Radius:

radius -A -X

Литература:

http://www.opennet.ru/base/net/freeradius_freenibs_mpd.txt.html
http://google.com

Ссылки

HTML:
[BB Url]:

Похожие статьи
Название	Добавил	Добавлено
• Интеграция VPN на базе mpd в Active...	Vova	08.05.2012

Ни одного комментария? Будешь первым :).

Пожалуйста, авторизуйтесь для добавления комментария.

Статьи

Рецензия на Pressure Чтобы обратить на себя внимание, начинающие маленькие разработчики, как правило, уходят в жанры, ...
Рецензия на Lost Chron... Игры, сделанные без любви и старания, похожи на воздушный шар – оболочка есть, а внутри пусто. Lo...
Рецензия на The Bridge «Верх» и «низ» в The Bridge — понятия относительные. Прогуливаясь под аркой, можно запросто перей...
Рецензия на SimCity Когда месяц назад состоялся релиз SimCity, по Сети прокатилось цунами народного гнева – глупые ош...
Рецензия на Strategy &... Название Strategy & Tactics: World War II вряд ли кому-то знакомо. Зато одного взгляда на ее скри...
Рецензия на игру Scrib... По сложившейся традиции в информационной карточке игры мы приводим в пример несколько похожих игр...
Рецензия на игру Walki... Зомби и продукция-по-лицензии — которые и сами по себе не лучшие представители игровой биосферы —...