Использование сервера LDAP/MS AD для хранения учетных записей

Цель

Учетные записи пользователей хранятся в MS AD сервере.

Топология сети

Описание практической работы

1. Создать AD с DNS-именем olga.oit.cmc.msu.ru

2. На межсетевом экране создать внешнюю базу данных пользо-вателей. DNS-имя MS Active Directory указывается при созда-нии этой базы данных.

Веб-интерфейс:

User Authentication → External User Databases → Add → LDAP Server

В поле Base Object DNS-имя указано в формате DN, в поле Domain Name в формате DNS.

3. В AD создать контейнер хранения учетных записей удаленных пользователей.

Или использовать существующий контейнер, например, Users:

Имя этого контейнера указывается в параметрах создания внешней базы данных пользователей на межсетевом экране, который выполняет функции NAS и является клиентом RADIUS.

4. В выбранном контейнере создать пользователя, в нашем случае создается пользователь l2tp_user в контейнере l2tp.

5. Имя этого пользователя указывается на противоположной сто-роне туннеля (в нашем случае на стороне L2TP-клиента).

Веб-интерфейс:

Interfaces → PPTP/L2TPClients → Add → PPTP/L2TPClient

6. Имя пользователя в AD является значением атрибута sAMAccountName.

7. Имя этого атрибута указывается в поле Name Attribute в параметрах создания внешней базы данных пользователей на межсетевом экране.

8. Аутентификация противоположной стороны туннеля (в нашем случае L2TP-клиента) выполняется по значению поля, имя которого указано в поле Password Attribute в параметрах со-здания внешней базы данных пользователей на межсетевом экране.

9. Тип этого поля должен быть Text.

10. Значение поля указывается в AD.

11. И на противоположной стороне туннеля (в нашем случае L2TP-клиента) в качестве значения пароля.

К AD посылается следующий запрос:

Ответ от AD следующий:

Значение поля description, которое является паролем пользователя, передается в открытом виде. Следовательно, канал между межсетевым экраном и AD должен быть защищен.