FreeBSD VPN и авторизация в MS домене
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
-
- рядовой
- Сообщения: 14
- Зарегистрирован: 2009-11-26 13:03:17
FreeBSD VPN и авторизация в MS домене
Здравствуйте, уважаемые!
Задача: поднять vpn в офисную сеть, с авторизацией пользователей через виндовый домен (при регистрации в VPN пользователь вводит учетные данные из домена).
Дано:
1) FreeBSD 7.2 + Samba 3 заведенная в домен (с доменной авторизацией и правкой пермишенов через галочки) + Squid (с авторизацией по NTLM)
2) Виндовые пользователи на другом конце VPNа
В чем мне нужна помощь: Схема решения этой задачи (протоколы, технологии) + софт, который поможет мне в решении.
В чем мне НЕ нужна помощь: В осмыслении того что можно сделать без домена и будет гораздо проще.
Помогите решить, пожалуйста!
Огромное спасибо всем кто откликнется!!!
З.Ы. Поиск использовал - не помогло.
Задача: поднять vpn в офисную сеть, с авторизацией пользователей через виндовый домен (при регистрации в VPN пользователь вводит учетные данные из домена).
Дано:
1) FreeBSD 7.2 + Samba 3 заведенная в домен (с доменной авторизацией и правкой пермишенов через галочки) + Squid (с авторизацией по NTLM)
2) Виндовые пользователи на другом конце VPNа
В чем мне нужна помощь: Схема решения этой задачи (протоколы, технологии) + софт, который поможет мне в решении.
В чем мне НЕ нужна помощь: В осмыслении того что можно сделать без домена и будет гораздо проще.
Помогите решить, пожалуйста!
Огромное спасибо всем кто откликнется!!!
З.Ы. Поиск использовал - не помогло.
Услуги хостинговой компании Host-Food.ru
Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
-
- лейтенант
- Сообщения: 638
- Зарегистрирован: 2007-04-08 5:50:16
Re: FreeBSD VPN и авторизация в MS домене
У меня лично даже дома мои 3 ноутбука члены домена, в который я их вводил опять же из дома.
Сетевое окружение, привелигии администратора домена и т.д. и т.п. "не отходя от кассы", как говорится.
Решение достаточно простое - OpenVPN
Удобен тем, что GUI-интерфейс не обязательно запускать отдельно, а можно как службу (если виндовая машина). В итоге, при включении компьютера дома, я автоматом авторизуюсь на контроллере домена. Использует для туннеля один порт (TCP или UDP), то есть не возникает лишних проблем с port forwarding'ом. Вообщем - удобно, секьюрно и стабильно.
P.S. И на официальном сайте присутствует достаточно обширная документация с примерами.
Сетевое окружение, привелигии администратора домена и т.д. и т.п. "не отходя от кассы", как говорится.
Решение достаточно простое - OpenVPN
Удобен тем, что GUI-интерфейс не обязательно запускать отдельно, а можно как службу (если виндовая машина). В итоге, при включении компьютера дома, я автоматом авторизуюсь на контроллере домена. Использует для туннеля один порт (TCP или UDP), то есть не возникает лишних проблем с port forwarding'ом. Вообщем - удобно, секьюрно и стабильно.
P.S. И на официальном сайте присутствует достаточно обширная документация с примерами.
-
- рядовой
- Сообщения: 14
- Зарегистрирован: 2009-11-26 13:03:17
Re: FreeBSD VPN и авторизация в MS домене
Т.е. ты предлагаешь поднимать тунель до офиса, ввести машину в домен со всеми вытекающими условиями? Но задача то в том, чтобы при поднятии тунеля, логин и пасс брались из домена.reLax писал(а):У меня лично даже дома мои 3 ноутбука члены домена, в который я их вводил опять же из дома.Сетевое окружение, привелигии администратора домена и т.д. и т.п. "не отходя от кассы", как говорится. Решение достаточно простое - OpenVPN...
Как то так:
В ходе изысканий по интернету найдены такие методы решения:
PopTop + MSCHAPv2 + Samba + Radius + Microsoft Active Directory (http://www.members.optushome.com.au/~ws ... owto_1.htm)
mpd5 => freeradius => samba => AD
-
- лейтенант
- Сообщения: 638
- Зарегистрирован: 2007-04-08 5:50:16
Re: FreeBSD VPN и авторизация в MS домене
Я не совсем смысла понимаю в этих действиях. Если машина по VPN вошла в домен (то есть пользователь при входе в систему ввел логин/пароль) - значит она по сути уже авторизировалась в нем. Какой смысл вбивать данные повторно ?
-
- подполковник
- Сообщения: 3929
- Зарегистрирован: 2008-09-04 11:51:25
- Откуда: Санкт-Петербург
Re: FreeBSD VPN и авторизация в MS домене
У вас же есть AD, поставьте ISA на контроллер AD и ходите mpd-кой к немуilich писал(а): Т.е. ты предлагаешь поднимать тунель до офиса, ввести машину в домен со всеми вытекающими условиями? Но задача то в том, чтобы при поднятии тунеля, логин и пасс брались из домена.
Как то так:
mpd5 => freeradius => samba => AD
- tynix
- сержант
- Сообщения: 246
- Зарегистрирован: 2008-08-06 8:25:42
- Откуда: Красноярск
Re: FreeBSD VPN и авторизация в MS домене
Хочешь через фрю с инета подключиться к сети через ВПН?
ставь mpd
startup:
set console self 127.0.0.1 5005
default:
load pptp_server
pptp_server:
set ippool add pool1 172.17.1.37 172.17.1.43 #пул адресов, выдаваемый клиентам
create bundle template B
set iface enable proxy-arp
set iface idle 1800
set iface enable tcpmssfix
set iface route 172.17.1.0/24 #маршрут через туннель будет в эту сеть
set ipcp yes vjcomp
set ipcp ranges 172.17.1.20/32 ippool pool1 #конечный адрес создаваемых туннелей, пул выдаваемых адресов
set ipcp dns 172.17.1.4 # днс домена, выдаваемый клиенту
set ipcp nbns 172.17.1.4 # wins домена, выдаваемый клиенту
set bundle enable compression
set ccp yes mppc
set mppc yes e40
set mppc yes e128
set mppc yes stateless
create link template L pptp
set link action bundle B
set link enable multilink
set link yes acfcomp protocomp
set link no pap chap
set link enable chap
load radius
set link keep-alive 10 60
set link mtu 1460
set pptp self 123.456.78.9 # адрес, к которому подключаются клиенты
set link enable incoming
radius:
set radius server 172.17.1.3 secret # ип виндового сервера, на котором установлен IAS (это радиус в винде так зовётся)
set radius retries 3
set radius timeout 3
set radius me 123.456.78.9
set auth acct-update 300
set auth enable radius-auth
set auth enable radius-acct
set radius enable message-authentic
потом:
в винде-"установка/удаление программ"- "компоненты вин"-"сетевые службы", устанавливай "служба проверки подлинности в интернете" (IAS)
как установится иди в "администрирование", открывай оснастку IAS, в разделе "RADIUS клиенты" создай нового, вбей туда адрес фри, на которой поставил mpd, секрет из конфига mpd (в данном случае "secret"), создавай подключение на клиенте по-умолчанию и проверяй.
не забудь настроить фаерволл и нат, если есть, чтоб пропускал пакеты от клиентов.
я делал по статье, которую нашёл в гугле, попробуй тоже поискать mpd+IAS
ставь mpd
startup:
set console self 127.0.0.1 5005
default:
load pptp_server
pptp_server:
set ippool add pool1 172.17.1.37 172.17.1.43 #пул адресов, выдаваемый клиентам
create bundle template B
set iface enable proxy-arp
set iface idle 1800
set iface enable tcpmssfix
set iface route 172.17.1.0/24 #маршрут через туннель будет в эту сеть
set ipcp yes vjcomp
set ipcp ranges 172.17.1.20/32 ippool pool1 #конечный адрес создаваемых туннелей, пул выдаваемых адресов
set ipcp dns 172.17.1.4 # днс домена, выдаваемый клиенту
set ipcp nbns 172.17.1.4 # wins домена, выдаваемый клиенту
set bundle enable compression
set ccp yes mppc
set mppc yes e40
set mppc yes e128
set mppc yes stateless
create link template L pptp
set link action bundle B
set link enable multilink
set link yes acfcomp protocomp
set link no pap chap
set link enable chap
load radius
set link keep-alive 10 60
set link mtu 1460
set pptp self 123.456.78.9 # адрес, к которому подключаются клиенты
set link enable incoming
radius:
set radius server 172.17.1.3 secret # ип виндового сервера, на котором установлен IAS (это радиус в винде так зовётся)
set radius retries 3
set radius timeout 3
set radius me 123.456.78.9
set auth acct-update 300
set auth enable radius-auth
set auth enable radius-acct
set radius enable message-authentic
потом:
в винде-"установка/удаление программ"- "компоненты вин"-"сетевые службы", устанавливай "служба проверки подлинности в интернете" (IAS)
как установится иди в "администрирование", открывай оснастку IAS, в разделе "RADIUS клиенты" создай нового, вбей туда адрес фри, на которой поставил mpd, секрет из конфига mpd (в данном случае "secret"), создавай подключение на клиенте по-умолчанию и проверяй.
не забудь настроить фаерволл и нат, если есть, чтоб пропускал пакеты от клиентов.
я делал по статье, которую нашёл в гугле, попробуй тоже поискать mpd+IAS
видимо, об этом и говорит snorlov, только он немного перепутал, там не ISA, а IAS называется.snorlov писал(а): У вас же есть AD, поставьте ISA на контроллер AD и ходите mpd-кой к нему
Don' t panic !
cd /usr/ports && make srach
make: don't know how to make srach. Stop
cd /usr/ports && make srach
make: don't know how to make srach. Stop
-
- подполковник
- Сообщения: 3929
- Зарегистрирован: 2008-09-04 11:51:25
- Откуда: Санкт-Петербург
Re: FreeBSD VPN и авторизация в MS домене
Юлин, а ведь действительно IAS, ISA совсем другое ... бес попутал))))
-
- рядовой
- Сообщения: 14
- Зарегистрирован: 2009-11-26 13:03:17
Re: FreeBSD VPN и авторизация в MS домене
Тунель поднимается по логину и паролю пользователя домена. Удаленная машина мне в домене совсем ни к чему, просто нужно попасть в ту же подсеть. А если проще сказать, то мне нужно установление тунеля по требованию.reLax писал(а):Я не совсем смысла понимаю в этих действиях.
AD конечно есть и я рассматривал этот вариант - не нравится установка IAS на сервер. Не буду объяснять почему, и пока есть выбор, посопротивляюсь этому решению.tynix писал(а):snorlov писал(а): У вас же есть AD, поставьте ISA на контроллер AD и ходите mpd-кой к немувидимо, об этом и говорит snorlov, только он немного перепутал, там не ISA, а IAS называется.
Мне больше вариант "pptpd and winbindd" нравиться!
Кусок документации:
Код: Выделить всё
The section covers how to configure pptpd + winbindd + AD.
The second configuration file is /etc/ppp/options.pptpd.
name pptpd
refuse-pap
refuse-chap
refuse-mschap
require-mschap-v2
require-mppe-128
ms-dns 10.0.0.1
ms-wins 10.0.0.1
proxyarp
lock
nobsdcomp
novj
novjccomp
nologfd
auth
nodefaultroute
plugin winbind.so
ntlm_auth-helper "/usr/bin/ntlm_auth --helper-protocol=ntlm-server-1"
-
- лейтенант
- Сообщения: 638
- Зарегистрирован: 2007-04-08 5:50:16
Re: FreeBSD VPN и авторизация в MS домене
Я так понимаю, попав в домен каким-либо образом через VPN, машина уже заранее являлась членом домена в итоге ? Иначе от ее присутствия в подсети домена толку будет мало. Я, конечно, не пропагандирую тут OpenVPN, но так понимаю, на VPN нужно просто "пароль" поставить пользователю. Так ?ilich писал(а):Тунель поднимается по логину и паролю пользователя домена. Удаленная машина мне в домене совсем ни к чему, просто нужно попасть в ту же подсеть. А если проще сказать, то мне нужно установление тунеля по требованию.reLax писал(а):Я не совсем смысла понимаю в этих действиях.
-
- рядовой
- Сообщения: 14
- Зарегистрирован: 2009-11-26 13:03:17
Re: FreeBSD VPN и авторизация в MS домене
Ну почему же... Машина в домене не будет. А любой разделяемый доменный ресурс при доступе с недоменной машины запросит логин и пароль...rdp, telnet, ssh и т.д. так же доступны будут. Я вот например не согласен заводить свою домашнюю машину в свой рабочий домен, т.к. я админ домена, а есть еще админ предприятия... и для чего он мне дома???reLax писал(а):Я так понимаю, попав в домен каким-либо образом через VPN, машина уже заранее являлась членом домена в итоге ? Иначе от ее присутствия в подсети домена толку будет мало.
OpenVPN, как я понял, хорош для создания постоянного туннеля, например между офисами. А вот поднять туннель до офиса и при этом не заставлять пользователя запоминать дополнительные пароли да и вообще управлять процессом из AD, не находил ни одной статьи. Если кинешь в меня ссылочкой, буду очень благодарен!!!reLax писал(а):Я, конечно, не пропагандирую тут OpenVPN, но так понимаю, на VPN нужно просто "пароль" поставить пользователю. Так ?
-
- лейтенант
- Сообщения: 638
- Зарегистрирован: 2007-04-08 5:50:16
Re: FreeBSD VPN и авторизация в MS домене
1) Постой. С самого начала. Любой пользователь, зашедший в домен, со своими правами, правами своей учетной записи, будет иметь именно те права, которые ему дает DC. Так ? И без разницы, каким образом он зайдет туда, будь то из внутренней ЛВС или VPN. Ты же получается хочешь что - пользователь коннектится по VPN во внутреннюю доменную сеть, вводя при коннекте к VPN свои логин/пароль учетной записи AD. Далее. Чтобы ему зайти на любой ресурс этой доменной сети - ему придется повторно, и скажу более - неоднократно вводить свои логины/пароли своей учетной записи для захода на рабочие станции этой доменной подсети. Меня бы на месте пользователя такие манипуляции с паролями по крайней мере взбесили через пару днейilich писал(а):Ну почему же... Машина в домене не будет. А любой разделяемый доменный ресурс при доступе с недоменной машины запросит логин и пароль...rdp, telnet, ssh и т.д. так же доступны будут. Я вот например не согласен заводить свою домашнюю машину в свой рабочий домен, т.к. я админ домена, а есть еще админ предприятия... и для чего он мне дома???reLax писал(а):Я так понимаю, попав в домен каким-либо образом через VPN, машина уже заранее являлась членом домена в итоге ? Иначе от ее присутствия в подсети домена толку будет мало.
OpenVPN, как я понял, хорош для создания постоянного туннеля, например между офисами. А вот поднять туннель до офиса и при этом не заставлять пользователя вводить куда либо пароли да и вообще управлять процессом из AD, не находил ни одной статьи. Если кинешь в меня ссылочкой, буду очень благодарен!!!reLax писал(а):Я, конечно, не пропагандирую тут OpenVPN, но так понимаю, на VPN нужно просто "пароль" поставить пользователю. Так ?
Зачем все это вот - "rdp, telnet, ssh" ??? У меня то просто реализовано для любого места планеты Земля, главное, чтобы инет был. Изнутри, через ОpenVPN-туннель, со всеми авторизациями и прочими применениями GPO прямо на месте, хоть ты в Зимбабве будешь - но те-же правила GPO получишь из нашей серверной, находящейся в Москве.
2) Ну у меня дома, офис что-ли... Я по ссылкам не работаю. Но скриншот со своего домашнего ноута сейчас прям скину скину, за ним и сижу щас кстати (думаю понятно все). Как видишь, компьютер некоего Бадикова выдает мне даже все свои процессы, любой из которых я могу успешно завершить, я уже не говорю про все остальное. А почему мне не быть Администратором домена, если я им и являюсь ? Зайдет если Себастьян Гиацинтович, являющийся в домене рядовым пользователем - так он так и останется на уровне пользователя. Из дома все опять же. Благодаря OpenVPN
-
- рядовой
- Сообщения: 14
- Зарегистрирован: 2009-11-26 13:03:17
Re: FreeBSD VPN и авторизация в MS домене
Я телнетом могу убить любой процесс любого пользователя и не надо мне для этого быть в домене, достаточно быть в сети.reLax писал(а):Зачем все это вот - "rdp, telnet, ssh" ???
RDP - основной рабочий инструмент пользователя! У нас много чего построено на терминалах и поэтому пользователи знают и любят RDP.
SSH- а куда без него, ни на фрю не попасть ни на циску...
По крайней мере они будут вводить один и тот же логин\пароль и не будут записывать кучи разных паролей на "бумажке", что полностью подрывает самую лучшую безопасность! Для моей сети безопасность превыше удобства!reLax писал(а):Меня бы на месте пользователя такие манипулиции с паролями по крайней мере взбесили через пару дней
-
- лейтенант
- Сообщения: 638
- Зарегистрирован: 2007-04-08 5:50:16
Re: FreeBSD VPN и авторизация в MS домене
Ну опустим вышестоящие комментарииilich писал(а):reLax писал(а): Для моей сети безопасность превыше удобства!
А для моей сети - безопасность это:
2048 RSA ключи на VPN туннелях, IMAP/SMTP over SSL, через GPO автоматическое перенаправление ресурсов пользователей на GEOM-ELI разделы серверов с их последующим бэкапом на Crypto-сервере, RAID'ы-5EE/6, GEOM-ELI "/" (это значит, что RAID-массив загружается только с флешки и с указаниям пароля к 512-и битным ключам ELI), на аналоговых и ISDN-линиях стоит СПРУТ-7...И т.д. и т.п., много чего Думаешь, я не знаю, что такое безопасность ?
-
- проходил мимо
Re: FreeBSD VPN и авторизация в MS домене
Лично я данную задачу решил через mpd5 + racoon2 + freeradius2
Mpd работает и с шифрованием и с програмным сжатием. За авторизацию отвечает racoon который без лишних самб может читать пользователей с контроллера домена, единственное НО, при подключении клиентов необходимо указывать домен входа иначе ДНС сервера не будут отвечать! Пиши в аську 299-251-252 расскажу подробнее
Mpd работает и с шифрованием и с програмным сжатием. За авторизацию отвечает racoon который без лишних самб может читать пользователей с контроллера домена, единственное НО, при подключении клиентов необходимо указывать домен входа иначе ДНС сервера не будут отвечать! Пиши в аську 299-251-252 расскажу подробнее
-
- проходил мимо
Re: FreeBSD VPN и авторизация в MS домене
Сорь за дезинформацию.... Совсем к вечеру перешгелся.... Раконом у меня ipsec тунели между сетями подняты... Достаточно mpd5 + freeradius2
-
- рядовой
- Сообщения: 14
- Зарегистрирован: 2009-11-26 13:03:17
Re: FreeBSD VPN и авторизация в MS домене
После долгих мутарств плюнул на PopTop и все же воспользовался mpd5+IAS + конфиг tynix (спасибо тебе). В локалке все заработало.
Однако возникла сложность другого рода.
Схема у мення следующая:
VPN сервер <=> <серая сеть> <=> Cisco-NAT (проброс порта в серую сеть) <=> <паблик> <=> NAT (ADSL модем) <=> <серая сеть> <=> VPN клиент
Так вот соединение умирает на проверке логина и пароля. Видно что пакеты от клиента серверу доходят, а вот от сервера клиенту нет. Ясно что виноват NAT, но в чем мне не понятно... Как отмониторить причину? Как исправлять?
На Opennet обсуждалась точно такая же проблема (лог с моим 1 в 1) http://opennet.ru/openforum/vsluhforumID10/4323.html , но там они сдались и ушли в другие степи.
Однако возникла сложность другого рода.
Схема у мення следующая:
VPN сервер <=> <серая сеть> <=> Cisco-NAT (проброс порта в серую сеть) <=> <паблик> <=> NAT (ADSL модем) <=> <серая сеть> <=> VPN клиент
Так вот соединение умирает на проверке логина и пароля. Видно что пакеты от клиента серверу доходят, а вот от сервера клиенту нет. Ясно что виноват NAT, но в чем мне не понятно... Как отмониторить причину? Как исправлять?
На Opennet обсуждалась точно такая же проблема (лог с моим 1 в 1) http://opennet.ru/openforum/vsluhforumID10/4323.html , но там они сдались и ушли в другие степи.
-
- рядовой
- Сообщения: 14
- Зарегистрирован: 2009-11-26 13:03:17
Re: FreeBSD VPN и авторизация в MS домене
Прошу прощения. Поиск рулит: http://forum.lissyara.su/viewtopic.php? ... 7&start=25 Тут написано что делать при возникновении такой ситуации.
-
- проходил мимо
- Сообщения: 1
- Зарегистрирован: 2017-11-07 14:14:43
FreeBSD VPN и авторизация в MS домене
Уважаемый reLax, а как вы авторизуетесь в домене после подключения к VPN через openVPN? Плагин auth_ldap вроде использует учетку AD только для самого подключения VPN, но не для авторизации пользователя в домене. Что почитать ?reLax писал(а):
2) Ну у меня дома, офис что-ли... Я по ссылкам не работаю. Но скриншот со своего домашнего ноута сейчас прям скину скину, за ним и сижу щас кстати (думаю понятно все). Как видишь, компьютер некоего Бадикова выдает мне даже все свои процессы, любой из которых я могу успешно завершить, я уже не говорю про все остальное. А почему мне не быть Администратором домена, если я им и являюсь ? Зайдет если Себастьян Гиацинтович, являющийся в домене рядовым пользователем - так он так и останется на уровне пользователя. Из дома все опять же. Благодаря OpenVPN