Samba4, Radius और PPTP MS-CHAP v2 का उपयोग करते हैं

... उह, यह हुआ। सब कुछ काफी सरल हो गया, हालांकि मुझे काफी समय बिताना पड़ा, मुख्य रूप से इंटरनेट पर जानकारी खोजना (उपयोगी, निश्चित रूप से) - बिल्ली रोई ... और कैसे खंडित (यह जानकारी) है! इसलिए, मैंने अपने कार्यान्वयन के अनुभव के आधार पर इस गाइड को लिखने का फैसला किया। मुख्य बात यह है कि सब कुछ एक ही स्थान पर इकट्ठा किया जाएगा (सिवाय, शायद, bind9 सेटिंग्स, लेकिन बाद में उस पर अधिक)।

तो चुनौती। उबंटू 12.04 वाला एक सर्वर है। वह बनना चाहिए:

• सक्रिय निर्देशिका के साथ पीडीसी विंडोज डोमेन।
• वीपीएन सर्वर (इसे उदाहरण के लिए, पीपीटीपी के रूप में, लेकिन MS-CHAP v2 और MPPE-128 के लिए अनिवार्य समर्थन के साथ) रेडियस सर्वर पर प्राधिकरण के साथ (निश्चितता, फ्रीराडियस के लिए)।
• तदनुसार - Freeradius सर्वर द्वारा।
• एक टर्मिनल सर्वर जिस पर AD उपयोगकर्ता पारदर्शी रूप से लॉग इन करते हैं।

नीचे उतर रहा है।

हमने Samba4 डाला

हमने Samba4 / HOWTO को ध्यान से पढ़ा। स्थापना की शुरुआत में, Samba4 -4.0.0rc2 का अगला संस्करण उपलब्ध था। अब, जहां तक ​​मुझे पता है - 4.0.0rc3। मैंने RC2 के साथ काम किया और मैं इसका वर्णन करूंगा।
हम HOWTO के निर्देशों के अनुसार सब कुछ करते हैं, लेकिन कुछ बारीकियों के बारे में मत भूलना:

1. आखिरकार, हम चाहते हैं कि हम अपने AD उपयोगकर्ताओं को लिनक्स कंप्यूटर पर प्रमाणित करें? तब सिस्टम पर libpam0g-dev पैकेज स्थापित करना न भूलें (कुछ इस तरह: sudo apt-get install libpam0g-dev )। इन पुस्तकालयों के बिना, samba4 में pam का समर्थन नहीं किया जाएगा ( / usr / स्थानीय / samba / lib / सुरक्षा / बहुत आवश्यक pam_winbind.so लाइब्रेरी के साथ निर्देशिका निर्मित प्रोजेक्ट में मौजूद नहीं होगी)।
2. मैं (दृढ़ता से!) के बजाय ./configure.developer ./configure का उपयोग करने की सलाह दूंगा ।

अगला, वाईकेआई सांबा 4 एचटीटीओ में वर्णित अनुसार करें । निर्मित samba4 को डायरेक्टरी / usr / लोकल / सांबा / में रखा जाएगा। एक बार फिर, मैं इस तथ्य पर ध्यान दूंगा कि सभी samba4 बायनेरिज़ / usr / लोकल / samba / bin / डायरेक्टरी में स्थित हैं, सेवाएँ / usr / लोकल / samba / sbin / डायरेक्टरी में स्थित हैं, इसलिए अब उन्हें पूर्ण पथ का उपयोग करके, या उन्हें ठीक करने की आवश्यकता है। PATH चर, या - जैसा कि मैंने किया था, क्योंकि मैंने samba4 को samba3 के बिना एक मशीन पर रखा - निर्देशिका / usr / स्थानीय / samba / बिन / से निर्देशिका / usr / बिन / , और निर्देशिका / usr / स्थानीय / से सभी फ़ाइलों के प्रतीकात्मक लिंक बनाएं। samba / sbin / - to directory / usr / sbin / ।
अब प्रावधान samba4 करें, जैसा कि HOWTO में वर्णित है। अन्य बातों के अलावा, यह प्रक्रिया / usr / स्थानीय / सांबा / आदि / निर्देशिका में मुख्य सांबा कॉन्फ़िगरेशन फ़ाइल - smb.conf बनाएगी , जिसे आवश्यक विकल्पों और "गेंदों" और ... सांबा के साथ पूरक किया जा सकता है! यह मेरे /usr/local/samba/etc/smb.conf जैसा दिखता है:

# Global parameters [global] dos charset = CP860 workgroup = <DOMAIN> # NetBIOS    realm = <domain.-> #  netbios name = <NetBIOS_Name> # NetBIOS    server role = active directory domain controller dns forwarder = 127.0.0.1 #     dns-. template shell = /bin/bash #       ,    –   … winbind use default domain = Yes winbind enum users = Yes winbind enum groups = Yes [netlogon] path = /usr/local/samba/var/locks/sysvol/uchteno.local/scripts read only = No [sysvol] path = /usr/local/samba/var/locks/sysvol read only = No #[profiles] # path = /var/lib/samba/profiles # read only = no # browseable = No #   «»,   . 

Samba4 को / etc / init / निर्देशिका में चलाने के लिए, निम्नलिखित सामग्री के साथ एक samba4.conf फ़ाइल बनाएँ:

 description "SMB/CIFS File and Active Directory Server" author "Jelmer Vernooij <jelmer@ubuntu.com>" start on (local-filesystems and net-device-up) stop on runlevel [!2345] expect fork normal exit 0 pre-start script [ -r /etc/default/samba4 ] && . /etc/default/samba4 install -o root -g root -m 755 -d /var/run/samba install -o root -g root -m 755 -d /var/log/samba end script exec /usr/local/samba/sbin/samba –D 

सेवा का प्रारंभ / पड़ाव निम्नानुसार होगा:

 # service samba4 start # service samba4 stop # service samba4 restart 

डीएनएस की स्थापना के रूप में एक अलग गीत के हकदार हैं इस क्षेत्र में bind9 पहले से ही इस सर्वर पर चल रहा था, और samba4, अपने स्वयं के अंतर्निहित dns सर्वर होने के नाते, पहले से कॉन्फ़िगर किए गए bind9 के साथ "दोस्त बनाना नहीं चाहता था", इसलिए ... आइए हम खुद को HOWTO निर्देशों तक सीमित करें, और यदि यह दिलचस्प है, तो मैं samba4- लिंक का वर्णन करूंगा bind9।
कुछ और टिप्पणियों के साथ, उपरोक्त वर्णित HOWTO के अनुसार बाकी सब कुछ सख्ती से है।

• विंडोज 7 पर स्थापित विंडोज रिमोट एडमिनिस्ट्रेशन टूल्स पैकेज में दो अप्रिय विशेषताएं हैं (अब तक मैंने दो पर ध्यान दिया है):
  - सबसे पहले, ADUC स्नैप-इन उपयोगकर्ता गुणों के लिए पूरी तरह से कोई "डायल-इन" टैब नहीं है (या यह रूसी में कैसे है?), और, इसलिए, आपको अन्य तरीकों से उपयोगकर्ताओं के लिए रिमोट एक्सेस सेटिंग्स करना होगा;
  - दूसरी बात, समूह नीतियों का प्रबंधन केवल प्रशासक के खाते में संभव है, इस तथ्य के बावजूद कि एक विशेष रूप से बनाया गया उपयोगकर्ता सभी संभावित उपयोगकर्ताओं में शामिल था ...
• ईमानदारी से, जब तक मैं विस्तार से पता नहीं लगाता कि समूह की नीतियों के तहत samba4 के तहत ...

तो, samba4 स्थापित और चल रहा है। अब लिनक्स पर AD उपयोगकर्ता प्रमाणीकरण की बारी है

विनबिंद सेटअप

हम विकी Samba4 / Winbind प्रलेखन पर जाते हैं और वहां लिखे गए ALL-ALL-ALL करते हैं। /Etc/nsswitch.conf में परिवर्तन करने के बाद सिस्टम को पुनरारंभ करना न भूलें, क्योंकि ... सामान्य तौर पर, रिबूट की आवश्यकता होती है। /Etc/pam.d/ में फ़ाइलों से सावधान रहें, क्योंकि यदि आप कोई गलती करते हैं, तो आपका सर्वर "ब्लैक बॉक्स" में बदल जाएगा, क्योंकि आप इसे ssh या कंसोल से एक्सेस नहीं कर सकते हैं ... यदि आपने त्रुटियों के बिना सब कुछ किया - वॉइला, तो आप अब सक्रिय निर्देशिका उपयोगकर्ता खातों के तहत लिनक्स सर्वर में लॉग इन कर सकते हैं!
हालांकि, मुझे एक बार फिर से आवश्यक कार्यों को सूचीबद्ध करने और मेरे सभी (काम करने वाले!) कॉन्फ़िगरेशन फ़ाइलों को सूचीबद्ध करना चाहिए ताकि सब कुछ एक ही स्थान पर हो।
So.
पुस्तकालय libnss_winbind.so उपलब्ध कराएं :

 # ln -s /usr/local/samba/lib/libnss_winbind.so.2 /lib/libnss_winbind.so # ln -s /lib/libnss_winbind.so /lib/libnss_winbind.so.2 

संपादित करें /etc/nsswitch.conf :
#etc/nsswitch.conf

 passwd: compat winbind group: compat winbind shadow: compat hosts: files dns networks: files protocols: db files services: db files ethers: db files rpc: db files netgroup: nis 

इस संपादन के बाद, तुरंत रिबूट करें!
परीक्षण winbind। हां, शर्मिंदा न हों कि सिस्टम में ऐसी कोई प्रक्रिया नहीं है - सांबा डेमन अब सभी कार्य करता है।
विनबिल उपलब्धता:

 $ /usr/local/samba/bin/wbinfo -p Ping to winbindd succeeded 

Winbind डोमेन उपयोगकर्ताओं की सूची लौटाता है:

 $ /usr/local/samba/bin/wbinfo -u ... <_>\Administrator ... 

getent passwd लिनक्स और डोमेन दोनों की सूची देता है:

 $ getent passwd root:x:0:0… ... <_>\Administrator:x:0:100::/home/MATWS/Administrator:/bin/false ... 

आईडी कमांड डोमेन उपयोगकर्ताओं के बारे में जानकारी देता है:

 $ id Administrator uid=0(root) gid=100(users) groupes=0(root),100(users),3000004(Group Policy Creator Owners),3000008(Domain Admins) 

कृपया ध्यान दें कि samba4 के "प्रोक्योरमेंट" स्टेज पर बनाए गए एडमिनिस्ट्रेटर डोमेन यूजर के पास सभी आगामी परिणामों के साथ uid = 0 है!

पाम सेटअप

सबसे पहले, pam_winbind.so पुस्तकालय उपलब्ध कराएं :

 # ln -s /usr/local/samba/lib/security/pam_winbind.so /lib/security 

हम /etc/pam.d/ निर्देशिका में निम्न फ़ाइलों को कॉन्फ़िगर करते हैं:
/etc/pam.d/common-auth

 # # /etc/pam.d/common-auth - authentication settings common to all services # # This file is included from other service-specific PAM config files, # and should contain a list of the authentication modules that define # the central authentication scheme for use on the system # (eg, /etc/shadow, LDAP, Kerberos, etc.). The default is to use the # traditional Unix authentication mechanisms. # # As of pam 1.0.1-6, this file is managed by pam-auth-update by default. # To take advantage of this, it is recommended that you configure any # local modules either before or after the default block, and use # pam-auth-update to manage selection of other modules. See # pam-auth-update(8) for details. # here are the per-package modules (the "Primary" block) auth sufficient pam_winbind.so auth [success=1 default=ignore] pam_unix.so nullok_secure use_first_pass # here's the fallback if no module succeeds auth requisite pam_deny.so # prime the stack with a positive return value if there isn't one already; # this avoids us returning an error just because nothing sets a success code # since the modules above will each just jump around auth required pam_permit.so # and here are more per-package modules (the "Additional" block) # end of pam-auth-update config 

/etc/pam.d/common-account :

 # # /etc/pam.d/common-account - authorization settings common to all services # # This file is included from other service-specific PAM config files, # and should contain a list of the authorization modules that define # the central access policy for use on the system. The default is to # only deny service to users whose accounts are expired in /etc/shadow. # # As of pam 1.0.1-6, this file is managed by pam-auth-update by default. # To take advantage of this, it is recommended that you configure any # local modules either before or after the default block, and use # pam-auth-update to manage selection of other modules. See # pam-auth-update(8) for details. # # here are the per-package modules (the "Primary" block) account sufficient pam_winbind.so account [success=1 new_authtok_reqd=done default=ignore] pam_unix.so # here's the fallback if no module succeeds account requisite pam_deny.so # prime the stack with a positive return value if there isn't one already; # this avoids us returning an error just because nothing sets a success code # since the modules above will each just jump around account required pam_permit.so # and here are more per-package modules (the "Additional" block) # end of pam-auth-update config 

/etc/pam.d/common-session :

 # # /etc/pam.d/common-session - session-related modules common to all services # # This file is included from other service-specific PAM config files, # and should contain a list of modules that define tasks to be performed # at the start and end of sessions of *any* kind (both interactive and # non-interactive). # # As of pam 1.0.1-6, this file is managed by pam-auth-update by default. # To take advantage of this, it is recommended that you configure any # local modules either before or after the default block, and use # pam-auth-update to manage selection of other modules. See # pam-auth-update(8) for details. # here are the per-package modules (the "Primary" block) session [default=1] pam_permit.so # here's the fallback if no module succeeds session requisite pam_deny.so # prime the stack with a positive return value if there isn't one already; # this avoids us returning an error just because nothing sets a success code # since the modules above will each just jump around session required pam_permit.so # The pam_umask module will set the umask according to the system default in # /etc/login.defs and user settings, solving the problem of different # umask settings with different shells, display managers, remote sessions etc. # See "man pam_umask". session required pam_mkhomedir.so session required pam_winbind.so session optional pam_umask.so # and here are more per-package modules (the "Additional" block) session required pam_unix.so session optional pam_ck_connector.so nox11 # end of pam-auth-update config 

अब आपके पास एक डोमेन उपयोगकर्ता के रूप में लिनक्स कंप्यूटर में लॉग इन करने का अवसर है!

Freeradius

अगला कदम एक फ्रीडेरियस सर्वर को स्थापित और कॉन्फ़िगर करना है, सक्रिय निर्देशिका डेटा और एमएस-चैप वी 2 और एमपीपीई -128 प्रोटोकॉल का उपयोग करके फ्रीरेडियस के साथ काम करने के लिए पीपीटीपी को कॉन्फ़िगर करें। और यह मत मानो कि आपको MS-CHAP v2 को लागू करने के लिए samba3 का उपयोग करने की आवश्यकता है या, यहां तक ​​कि कूलर, samba4 और त्रिज्या-सर्वर को अलग-अलग मशीनों में अलग करने के लिए!
इसलिए, फिर से, हम शुरुआती बिंदु के रूप में WiKi Samba4 / HOWTO / Virtual_PStreet_Network का उपयोग करेंगे। लेकिन शाब्दिक रूप से नहीं। नीचे उतर रहा है।
फ़्रीराडियस स्थापित करें:

 sudo apt-get install freeradius freeradius-common freeradius-krb5 freeradius-ldap freeradius-utils radiusclient1 

कृपया ध्यान दें कि वाईकेआई पर उल्लिखित लेख की तुलना में, त्रिज्याक्लायंट 1 पैकेज की स्थापना को यहां जोड़ा गया है, जो कि पीपीटीपीडी के लिए त्रिज्या प्लगइन्स के साथ काम करने के लिए आवश्यक होगा।
Freeradius को कॉन्फ़िगर करना। मेरे पास यह /etc/freeradius/radiusd.conf है :

 prefix = /usr exec_prefix = /usr sysconfdir = /etc localstatedir = /var sbindir = ${exec_prefix}/sbin logdir = /var/log/freeradius raddbdir = /etc/freeradius radacctdir = ${logdir}/radacct confdir = ${raddbdir} run_dir = ${localstatedir}/run/freeradius db_dir = ${raddbdir} libdir = /usr/lib/freeradius pidfile = ${run_dir}/freeradius.pid max_request_time = 30 cleanup_delay = 5 max_requests = 1024 listen { type = auth ipaddr = <ip_address_> #    port = 0 interface = eth0 } listen { type = auth ipaddr = 127.0.0.1 port = 0 interface = lo } listen { type = acct ipaddr = <ip_address_> port = 0 interface = eth0 } listen { type = acct ipaddr = 127.0.0.1 port = 0 interface = lo } #   ,   ,     #listen { type = auth …}  listen {type = acct …} hostname_lookups = no allow_core_dumps = no regular_expressions = yes extended_expressions = yes log { destination = files file = ${logdir}/radius.log syslog_facility = daemon stripped_names = no auth = no auth_badpass = no auth_goodpass = no } checkrad = ${sbindir}/checkrad security { max_attributes = 200 reject_delay = 1 status_server = yes } proxy_requests = no $INCLUDE clients.conf thread pool { start_servers = 5 max_servers = 32 min_spare_servers = 3 max_spare_servers = 10 max_requests_per_server = 0 } modules { $INCLUDE ${confdir}/modules/ } instantiate { exec expr expiration logintime } $INCLUDE policy.conf $INCLUDE sites-enabled/ 

अगला, /etc/freeradius/clients.conf में हम लिखते हैं:

 client localhost { ipaddr = 127.0.0.1 netmask = 32 secret = samba4 #   «»      shortname = localhost } 

हम आंतरिक-सुरंग की संभावना को दूर करते हैं, जिसके लिए EAP-TTLS और PEAP की आवश्यकता होती है:

 sudo rm -rf /etc/freeradius/sites-enabled/inner-tunnel 

अब डिफ़ॉल्ट निर्देशिका / etc / freeradius / साइटों-सक्षम / निर्देशिका में बनी हुई है, जिसे हम संपादित कर रहे हैं:

 authorize { preprocess auth_log chap mschap #suffix #     , ..      ldap expiration logintime pap } authenticate { Auth-Type PAP { pap } Auth-Type CHAP { chap } Auth-Type MS-CHAP { mschap } Auth-Type LDAP { ldap } } preacct { preprocess acct_unique suffix files } accounting { detail radutmp attr_filter.accounting_response } session { radutmp } post-auth { exec Post-Auth-Type REJECT { attr_filter.access_reject } } pre-proxy { } post-proxy { } 

/ Etc / freeradius / मॉड्यूल / निर्देशिका पर जाएं और आवश्यक मॉड्यूल संपादित करें।
फ़ाइल / etc / freeradius / मॉड्यूल / ldap (आपके साथ सभी cn और dc की जगह):

 ldap { server = "localhost" identity = "cn=VPN,cn=users,dc=example,dc=com" #   ldap #      password = <__> basedn = "dc=example,dc=com" filter = "(sAMAccountName=%{Stripped-User-Name:-%{User-Name}})" ldap_connections_number = 5 timeout = 4 timelimit = 3 net_timeout = 1 tls { start_tls = no } access_attr = "msNPAllowDialin" dictionary_mapping = ${confdir}/ldap.attrmap edir_account_policy_check = no #        WiKi ,  #      Active Directory   ! chase-referrals = yes rebind = yes } 

संपादन / आदि / फ्रीरेडियस / मॉड्यूल / एमएसचैप :

 mschap { use_mppe = yes (  mppe-128) require_encryption = yes require_strong = yes with_ntdomain_hack = no #   - –   !!! ntlm_auth = "/usr/local/samba/bin/ntlm_auth3 --request-nt-key \ --username=%{Stripped-User-Name:-%{User-Name:-None}} \ --challenge=%{mschap:Challenge:-00} \ --nt-response=%{mschap:NT-Response:-00}" } 

एक बार फिर, मैं आपका ध्यान ntlm_auth = "/ usr / local / samba / bin / ntlm_auth3 पैरामीटर पर आकर्षित करूंगा ..." Samba4 samba3 के साथ "मित्र" है और इसके अलावा ntlm_auth बाइनरी जो MS-CHAP v2 का समर्थन नहीं करता है, वहाँ ntlm_auth3 बाइनरी है "!

PPTPD

और अंत में पीपीटीपी। यह समझा जाता है कि pptpd स्वयं पहले से ही संस्थापित और विन्यस्त है ( /etc/pptpd.conf फ़ाइल को संपादित करने की आवश्यकता नहीं है!)
संपादित करें / आदि / पीपीपी / पीपीटीपी-विकल्प :

 ############################################################################### # $Id: pptpd-options 4643 2006-11-06 18:42:43Z rene $ # # Sample Poptop PPP options file /etc/ppp/pptpd-options # Options used by PPP when a connection arrives from a client. # This file is pointed to by /etc/pptpd.conf option keyword. # Changes are effective on the next connection. See "man pppd". # # You are expected to change this file to suit your system. As # packaged, it requires PPP 2.4.2 and the kernel MPPE module. ############################################################################### # Authentication # Name of the local system for authentication purposes # (must match the second field in /etc/ppp/chap-secrets entries) name pptpd # Optional: domain name to use for authentication # # Strip the domain prefix from the username before authentication. # (applies if you use pppd with chapms-strip-domain patch) #chapms-strip-domain # Encryption # Debian: on systems with a kernel built with the package # kernel-patch-mppe >= 2.4.2 and using ppp >= 2.4.2, ... refuse-pap refuse-chap refuse-mschap # Require the peer to authenticate itself using MS-CHAPv2 [Microsoft # Challenge Handshake Authentication Protocol, Version 2] authentication. require-mschap-v2 # Require MPPE 128-bit encryption # (note that MPPE requires the use of MSCHAP-V2 during authentication) require-mppe-128 # Network and Routing # If pppd is acting as a server for Microsoft Windows clients, this # option allows pppd to supply one or two DNS (Domain Name Server) # addresses to the clients. The first instance of this option # specifies the primary DNS address; the second instance (if given) # specifies the secondary DNS address. # Attention! This information may not be taken into account by a Windows # client. See KB311218 in Microsoft's knowledge base for more information. ms-dns <ip_dns> #    –  127.0.0.1 # If pppd is acting as a server for Microsoft Windows or "Samba" # clients, this option allows pppd to supply one or two WINS (Windows # Internet Name Services) server addresses to the clients. The first # instance of this option specifies the primary WINS address; the # second instance (if given) specifies the secondary WINS address. ms-wins <ip_wins> #    – 127.0.0.1 # Add an entry to this system's ARP [Address Resolution Protocol] # table with the IP address of the peer and the Ethernet address of this # system. This will have the effect of making the peer appear to other # systems to be on the local ethernet. # (you do not need this if your PPTP server is responsible for routing # packets to the clients -- James Cameron) proxyarp # Debian: do not replace the default route nodefaultroute # Logging # Enable connection debugging facilities. # (see your syslog configuration for where pppd sends to) debug # Print out all the option values which have been set. # (often requested by mailing list to verify options) #dump # Miscellaneous # Create a UUCP-style lock file for the pseudo-tty to ensure exclusive # access. lock # Disable BSD-Compress compression nobsdcomp auth logfile /var/log/pptpd.log #    radius     plugin radius.so plugin radattr.so 

फ़ाइल /etc/radiusclien/radiusclient.conf (मेरी राय में, मैंने इसे तब तक नहीं छुआ, जब तक कि मैंने ऑक्टेस्वर और एक्टेसवर को सही नहीं किया):

 # General settings # specify which authentication comes first respectively which # authentication is used. possible values are: "radius" and "local". # if you specify "radius,local" then the RADIUS server is asked # first then the local one. if only one keyword is specified only # this server is asked. auth_order radius,local # maximum login tries a user has login_tries 4 # timeout for all login tries # if this time is exceeded the user is kicked out login_timeout 60 # name of the nologin file which when it exists disables logins. # it may be extended by the ttyname which will result in # a terminal specific lock (eg /etc/nologin.ttyS2 will disable # logins on /dev/ttyS2) nologin /etc/nologin # name of the issue file. it's only display when no username is passed # on the radlogin command line issue /etc/radiusclient/issue # RADIUS settings # RADIUS server to use for authentication requests. this config # item can appear more then one time. if multiple servers are # defined they are tried in a round robin fashion if one # server is not answering. # optionally you can specify a the port number on which is remote # RADIUS listens separated by a colon from the hostname. if # no port is specified /etc/services is consulted of the radius # service. if this fails also a compiled in default is used. authserver localhost # RADIUS server to use for accouting requests. All that I # said for authserver applies, too. # acctserver localhost # file holding shared secrets used for the communication # between the RADIUS client and server servers /etc/radiusclient/servers # dictionary of allowed attributes and values # just like in the normal RADIUS distributions dictionary /etc/radiusclient/dictionary # program to call for a RADIUS authenticated login login_radius /usr/sbin/login.radius # file which holds sequence number for communication with the # RADIUS server seqfile /var/run/radius.seq # file which specifies mapping between ttyname and NAS-Port attribute mapfile /etc/radiusclient/port-id-map # default authentication realm to append to all usernames if no # realm was explicitly specified by the user # the radiusd directly form Livingston doesnt use any realms, so leave # it blank then default_realm # time to wait for a reply from the RADIUS server radius_timeout 10 # resend request this many times before trying the next server radius_retries 3 # LOCAL settings # program to execute for local login # it must support the -f flag for preauthenticated login login_local /bin/login 

फ़ाइल / आदि / त्रिज्या / सर्वर :

 # Make sure that this file is mode 600 (readable only to owner)! # #Server Name or Client/Server pair Key #---------------- --------------- 127.0.0.1 samba4 #   «»,     freeradius? 

एक बहुत ही महत्वपूर्ण बिंदु - हम फ़ाइल /etc/radiusclient/dEDIA.microsoft बनाते हैं । मैं उसके पाठ का हवाला नहीं दूंगा, क्योंकि आप इसे पूरी तरह से यहाँ प्राप्त कर सकते हैं )

और फ़ाइल के अंत में / etc / radiusclient / शब्दकोश लाइन जोड़ें
निम्नलिखित प्राप्त करने के लिए INCLUDE /etc/radiusclient/dEDIA.microsoft:

 # # Updated 97/06/13 to livingston-radius-2.01 miquels@cistron.nl # # This file contains dictionary translations for parsing # requests and generating responses. All transactions are # composed of Attribute/Value Pairs. The value of each attribute # is specified as one of 4 data types. Valid data types are: # # string - 0-253 octets # ipaddr - 4 octets in network byte order # integer - 32 bit value in big endian order (high byte first) # date - 32 bit value in big endian order - seconds since # 00:00:00 GMT, Jan. 1, 1970 # # Enumerated values are stored in the user file with dictionary # VALUE translations for easy administration. # # Example: # # ATTRIBUTE VALUE # --------------- ----- # Framed-Protocol = PPP # 7 = 1 (integer encoding) # # # Following are the proper new names. Use these. # #     # !!!!      !!!!! INCLUDE /etc/radiusclient/dictionary.microsoft 

सब कुछ होने लगता है। Samba4 पहले से ही चल रहा है, आपको freeradius सर्वर और pptpd डेमॉन को पुनः आरंभ करने की आवश्यकता है।

ADUC स्नैप-इन में डायल-इन टैब की कमी की समस्या का समाधान

अरे हाँ। कुछ उपयोगकर्ताओं के लिए वीपीएन एक्सेस को सक्षम / अक्षम करने के बारे में। क्या आपने विंडोज रिमोट एडमिनिस्ट्रेशन टूल्स पैकेज स्थापित किया था? इसलिए, आपको ADUC स्नैप-इन की वह तस्वीर "डायल-इन" टैब के साथ विंडोज 7 के तहत वाईकेआई पृष्ठों पर नहीं दिखाई जाएगी। और आपको कुछ इस तरह दिखाई देगा:


और जहां "डायल-इन" टैब या इसके रूसी एनालॉग "इनकमिंग कॉल" है? यहां उपयोगकर्ता अनुमति कैसे प्रबंधित करें? चिंता की कोई बात नहीं। क्या हम कठिनाइयों से नहीं डरते? हम याद करते हैं (मुझे लगता है कि आप भूल नहीं गए हैं!) वह डोमेन नियंत्रक है, जो अन्य चीजों में है, एक LDAP सर्वर, इसलिए हम इस तरह के सर्वर (उदाहरण के लिए, LdapAdmin ) के प्रबंधन के लिए कोई भी टूल डालते हैं और हम इसे चलाते हैं।
सबसे पहले, हमारे samba4 सर्वर से एक कनेक्शन सेट करें: सर्वर पता पंजीकृत करें, "Fetch DNs" बटन पर क्लिक करें, शीर्ष-स्तरीय आधार, रेडियो-बॉक्स "GSS-API" का चयन करें, उपयोगकर्ता के रूप में- Administrator, इस उपयोगकर्ता के पासवर्ड को कनेक्ट करें। हम अपने पूरे कैटलॉग को देखते हैं जो डोमेन की तैनाती के दौरान ढेर हो गया था। हम आवश्यक उपयोगकर्ता का चयन करते हैं और संपादन मोड में जाते हैं। हम msNPAllowDialin विशेषता पाते हैं और TRUE या FALSE दर्ज करते हैं (आवश्यक - बड़े अक्षरों में!):


सहेजें। इस उपयोगकर्ता को वीपीएन के माध्यम से लॉग इन करने की अनुमति है (या निषिद्ध)।

परिणाम

मेरी राय में, पोस्ट की शुरुआत में निर्धारित सभी कार्य हल किए गए हैं। उनके समाधान पर (लगभग ढाई सप्ताह) समय मुख्य रूप से इंटरनेट पर प्रलेखन का अध्ययन करने पर खर्च किया गया था, इस तरह के समाधान का अनुभव, वास्तविकताओं के साथ प्राप्त जानकारी की तुलना करते हुए जो मैंने अपने सर्वर पर अपनी आँखों से देखा, संबा 4 को संकलित और पुन: प्रस्तुत किया, और संपादन किया। संपादन और कॉन्फ़िगरेशन फिर से संपादित करना ... लेकिन परिणाम ने मुझे प्रसन्न किया: अंत में मुझे सक्रिय निर्देशिका, नेटवर्क और एक्सेस पॉलिसी सेवा और दूरस्थ डेस्कटॉप सेवा (शराब के तहत, निश्चित रूप से, लेकिन इसके बारे में कुछ भी नहीं है) के साथ विंडोज सर्वर 2008 R2 का लगभग पूरा प्रतिस्थापन मिला। ओवा ने नहीं लिखा)।