Полезное:


Главная / How-To / SysAdmin / Авторизация PPPd в LDAP
Авторизация PPPd в LDAP

Если мы хотим чтобы пользователи, хранящиеся в LDAP получали возможность подключения например по PPPoE или PPTP к серверу, то для этого нужно сделать следующее.

Вариант 1.

Установить последнюю версию pppd из rpm (+develop), pptpd из rpm, rp-pppoe из исходников

Собрать плагин pppd_ldap из исходников и положить в /usr/lib/pppd/2.4.3/
Внимание! Его нужно немного пропатчить чтобы не было ошибок при сборке!

Прописать модуль pppd_ldap.so и его параметры доступа к ldap-серверу в /etc/ppp/pppoe-server-options

В базу LDAP добавляем схему RADIUS-LDAPv3.schema
к пользователям LDAP objectclass=radiusprofile
и атрибуты:
radiusAuthType: LDAP
radiusFramedIPAddress: 192.168.0.105
radiusSessionTimeout: 16000
radiusIdleTimeout: 600
dialupAccess: YES

Запускаем сервер pppoe:
pppoe-server -I eth1 -L 192.168.1.1

Запускаем сервер pptpd:
service pptpd start

Авторизация будет только через PAP - без шифрации. Траффик так же будет нешифрован.
Чтобы появилась возможность авторизации mschap-v2 и шифрация по mppe нужно найти патченный pppd или модуль (я не нашел). При этом пароль будет браться из поля NTpassword.

Вариант 2.

Что-бы все таки была возможность авторизации по полю NTpassword (например для пользователей MS AD) нужно установить radius сервер, настроить его на авторизацию по NTLM в LDAP (или MS AD). Прописать модуль radius.so в конфигах pppd /etc/ppp/pppoe-server-options

Пользователи получат возможность авторизоваться передавая пароль в зашифрованном виде и шифровать весь трафик по mppe, что есть очень хорошо для VPN подключений в локальную сеть из Итернет.

Схемы LDAP те же, что и в 1м варианте.

Добавлено: 2008/07/12
Обновлено: 2008/08/09

Навигация
Обо мне | Портфолио | How-To | Мои ссылки | Фотоальбом | Смешно! | Контакты Адрес: Россия, Владивосток
Тел.: +7 (4232) 51-84-81