Россия, Санкт-Петербург, Северо-Западный заочный технический университет, 2007 |
Использование сервера LDAP/MS AD для хранения учетных записей
Цель
Учетные записи пользователей хранятся в MS AD сервере.
Топология сети
Описание практической работы
1. Создать AD с DNS-именем olga.oit.cmc.msu.ru
2. На межсетевом экране создать внешнюю базу данных пользо-вателей. DNS-имя MS Active Directory указывается при созда-нии этой базы данных.
Веб-интерфейс:
User Authentication → External User Databases → Add → LDAP Server
В поле Base Object DNS-имя указано в формате DN, в поле Domain Name в формате DNS.
3. В AD создать контейнер хранения учетных записей удаленных пользователей.
Или использовать существующий контейнер, например, Users:
Имя этого контейнера указывается в параметрах создания внешней базы данных пользователей на межсетевом экране, который выполняет функции NAS и является клиентом RADIUS.
4. В выбранном контейнере создать пользователя, в нашем случае создается пользователь l2tp_user в контейнере l2tp.
5. Имя этого пользователя указывается на противоположной сто-роне туннеля (в нашем случае на стороне L2TP-клиента).
Веб-интерфейс:
Interfaces → PPTP/L2TPClients → Add → PPTP/L2TPClient
6. Имя пользователя в AD является значением атрибута sAMAccountName.
7. Имя этого атрибута указывается в поле Name Attribute в параметрах создания внешней базы данных пользователей на межсетевом экране.
8. Аутентификация противоположной стороны туннеля (в нашем случае L2TP-клиента) выполняется по значению поля, имя которого указано в поле Password Attribute в параметрах со-здания внешней базы данных пользователей на межсетевом экране.
9. Тип этого поля должен быть Text.
10. Значение поля указывается в AD.
11. И на противоположной стороне туннеля (в нашем случае L2TP-клиента) в качестве значения пароля.
К AD посылается следующий запрос:
Ответ от AD следующий:
Значение поля description, которое является паролем пользователя, передается в открытом виде. Следовательно, канал между межсетевым экраном и AD должен быть защищен.