Опубликован: 28.11.2014 | Уровень: для всех | Доступ: платный | ВУЗ: Московский государственный университет имени М.В.Ломоносова
Лабораторная работа 14:

Использование сервера LDAP/MS AD для хранения учетных записей

< Лекция 13 || Лабораторная работа 14

Цель

Учетные записи пользователей хранятся в MS AD сервере.

Топология сети


Описание практической работы

1. Создать AD с DNS-именем olga.oit.cmc.msu.ru


2. На межсетевом экране создать внешнюю базу данных пользо-вателей. DNS-имя MS Active Directory указывается при созда-нии этой базы данных.

Веб-интерфейс:

User Authentication → External User Databases → Add → LDAP Server

В поле Base Object DNS-имя указано в формате DN, в поле Domain Name в формате DNS.

3. В AD создать контейнер хранения учетных записей удаленных пользователей.


Или использовать существующий контейнер, например, Users:


Имя этого контейнера указывается в параметрах создания внешней базы данных пользователей на межсетевом экране, который выполняет функции NAS и является клиентом RADIUS.


4. В выбранном контейнере создать пользователя, в нашем случае создается пользователь l2tp_user в контейнере l2tp.


5. Имя этого пользователя указывается на противоположной сто-роне туннеля (в нашем случае на стороне L2TP-клиента).

Веб-интерфейс:

Interfaces → PPTP/L2TPClients → Add → PPTP/L2TPClient

6. Имя пользователя в AD является значением атрибута sAMAccountName.


7. Имя этого атрибута указывается в поле Name Attribute в параметрах создания внешней базы данных пользователей на межсетевом экране.


8. Аутентификация противоположной стороны туннеля (в нашем случае L2TP-клиента) выполняется по значению поля, имя которого указано в поле Password Attribute в параметрах со-здания внешней базы данных пользователей на межсетевом экране.


9. Тип этого поля должен быть Text.


10. Значение поля указывается в AD.


11. И на противоположной стороне туннеля (в нашем случае L2TP-клиента) в качестве значения пароля.


К AD посылается следующий запрос:


Ответ от AD следующий:


Значение поля description, которое является паролем пользователя, передается в открытом виде. Следовательно, канал между межсетевым экраном и AD должен быть защищен.

< Лекция 13 || Лабораторная работа 14
Андрей Викторов
Андрей Викторов
Россия, Санкт-Петербург, Северо-Западный заочный технический университет, 2007
Мария Шахрай
Мария Шахрай
Украина, НТУУ КПИ, 2013