Главная / How-To / SysAdmin / Авторизация PPPd в LDAP Авторизация PPPd в LDAP
Если мы хотим чтобы пользователи, хранящиеся в LDAP получали возможность подключения например по PPPoE или PPTP к серверу, то для этого нужно сделать следующее.
Вариант 1.
Установить последнюю версию pppd из rpm (+develop), pptpd из rpm, rp-pppoe из исходников
Собрать плагин pppd_ldap из исходников и положить в /usr/lib/pppd/2.4.3/
Внимание! Его нужно немного пропатчить чтобы не было ошибок при сборке!
Прописать модуль pppd_ldap.so и его параметры доступа к ldap-серверу в /etc/ppp/pppoe-server-options
В базу LDAP добавляем схему RADIUS-LDAPv3.schema
к пользователям LDAP objectclass=radiusprofile
и атрибуты:
radiusAuthType: LDAP
radiusFramedIPAddress: 192.168.0.105
radiusSessionTimeout: 16000
radiusIdleTimeout: 600
dialupAccess: YES
Запускаем сервер pppoe:
pppoe-server -I eth1 -L 192.168.1.1
Запускаем сервер pptpd:
service pptpd start
Авторизация будет только через PAP - без шифрации. Траффик так же будет нешифрован.
Чтобы появилась возможность авторизации mschap-v2 и шифрация по mppe нужно найти патченный pppd или модуль (я не нашел). При этом пароль будет браться из поля NTpassword.
Вариант 2.
Что-бы все таки была возможность авторизации по полю NTpassword (например для пользователей MS AD) нужно установить radius сервер, настроить его на авторизацию по NTLM в LDAP (или MS AD). Прописать модуль radius.so в конфигах pppd /etc/ppp/pppoe-server-options
Пользователи получат возможность авторизоваться передавая пароль в зашифрованном виде и шифровать весь трафик по mppe, что есть очень хорошо для VPN подключений в локальную сеть из Итернет.
Схемы LDAP те же, что и в 1м варианте.
Добавлено: 2008/07/12 Обновлено: 2008/08/09 |