mpd + AD

Добавляю к общей теме интеграций операционок, статью про MPD + AD.

В наличии имеется Windows Server 2008 и FreeBSD 8.0.

Поднимать на MPD будем VPN доступ к внутренней сети в которой находится домен контролер и все локальные машины.

Вариантов решения этой задачи немало, но самым правильным из всех, я посчитал RADIUS авторизацию для MPD и настройку NPS на Windows Server 2008.

Итак, с чего бы его начать.. Все попорядку и по полочкам.

1.Предпологается что уже есть некий windows домен domain.pp.ua
2.Шлюз на базе FreeBSD
3.В качестве VPN сервера используется MPD5 и он уже установлен

Настройка mpd.conf:

#cat /usr/local/etc/mpd5/mpd.conf
startup:
default:
load pptp_server
pptp_server:
set ippool add pool1 10.10.1.110 10.10.1.120 # пул выдаваемых IP-адресов клиентам
create bundle template B
set iface enable proxy-arp
set iface idle 1800
set iface enable tcpmssfix
set ipcp yes vjcomp
set ipcp ranges 10.10.1.1/32 ippool pool1
set ipcp dns 10.10.1.1 # DNS выдаваемый клиентам
set ipcp nbns 10.10.1.2 # Netbios прописываемый динамически у клиентов
set bundle enable compression
set ccp yes mppc
set mppc yes e40
set mppc yes e128
set mppc yes stateless
create link template L pptp
set link action bundle B
set link enable multilink
set link yes acfcomp protocomp
set link no pap chap
set link enable chap
set link keep-alive 10 60
set link mtu 1460
set pptp self 192.168.1.2 # IP-адрес сервера для подключения клиентов
set link enable incoming
load radius
radius:
set radius server pdc.domain.pp.ua 1234pass
set radius retries 3
set radius timeout 3
set radius me 10.10.1.2 # IP-адрес сервера с радиусом, то есть нашего домен контролера
set auth acct-update 300
set auth enable radius-auth
set auth enable radius-acct
set radius enable message-authentic

С MPD на этом всё, можем запустить его и переходить к настройке Windows Server 2008.

Обязательное условие для Windows Servera 2008 — это включение в групповых политиках пункта «Пароль должен отвечать требованиям сложности».

Для, того что бы сделать это, необходимо:

Администрирование -> Управление групповыми политиками.
Выбираем наш домен «domain.pp.ua» и редактируем «Default Domain Policy».
Computer Configuration -> Policies -> Windows Settings -> Security Settings -> Account Policies -> Password Policy -> Store passwords using reversible encryption = Enabled.
Enable — «reversible password encryption» for your domain users.

Перезагружаем домен контролер, для применения групповых политик.

Включаем «Сервер сетевых политик» — NPS:

Добавляем «Network Policy and Access Services» роль на домен контролере и инсталируем «Network Policy Server», «Routing & Remote Access Services» — «Remote Access Service».

Перепроверить порты RADIUS:

Server Manager -> Roles -> Network Policy and Access -> Right-click NPS (Local) -> Properties -> Ports Tab.
Проверяем порты по умолчанию для аутентификации 1812,1645 и для аккаунтинга 1813, 1646.

Добавляем клиента для радиуса:
NPS (Local) -> RADIUS Clients and Servers -> RADIUS Clients -> Right-click Add new Client.

Добавляем IP-адрес клиента и пароль через который будет авторизоваться клиент, например «1234pass»

Добавляем новые «Сетевые политики» — «Network Policy»:

NPS (Local) -> Policies -> Right-click Network Policies -> Add new.

В появившемся мастере вводим имя, например mpd-gw, тип сетевого доступа к серверу оставляем как указано. Нажимаем кнопку «Next».
Добавляем условие. Выбераем Windows группу. Добавляем группу, например «Пользователи домена». Нажимаем кнопку «ОК», нажмаем кнопку «Next».
Выбираем «Доступ разрешен», нажмите кнопку «Next».
Оставляем значение по умолчанию «Методы проверки подлинности», нажимаем кнопку «Next». Оставить ограничения по умолчанию, нажимаем кнопку «Next».
Оставьте настройки по умолчанию и снова жмем кнопку «Next». После чего, жмем кнопку «Done».

Предоставляем доступ или запрет для пользователей:

Жмём правой кнопкой мыши на пользователе домена -> свойства -> Dial-in tab.

На этой вкладке, разрешаем или запрещаем доступ пользователю.
Также можно указывать доступ устанавливая птичку на против «NPS Policy».

Ну, вот. На этом настройка Windows Server 2008 закончена.

Можно пробовать, подключаться к нашему MPD.

Напоминаю всем копирующим мой контент о существовании закона "Об авторском праве".
В связи с этим, прошу во избежании конфликтов при копировании данного материала, ставить на него ссылку:

http://noted.org.ua/1043


Также, вы можете отблагодарить меня переслав любую сумму на любой кошелек WebMoney, для поддержания данного ресурса. Или просто админу на пиво ;)

Кошельки для получения благодарности:
R386985788805
U234140473141
Z147712360455

На данной странице нет комментариев, возможно они закрыты. Если Вы хотите оставить свой комментарий, перейдите на специально созданный раздел

Add your comment now

Please note: JavaScript is required to post comments.