«Доменная» авторизация отличается от простой тем, что не нужно заходить на VPN сервер для изменения учетных записей того или иного пользователя. Здесь все делается, как у цивилизованных людей – через делегацию доменных групп.
Первое, что нам понадобится – это ввести настроенный VPN сервер в наш существующий домен.
Для этого нужно немного изменить конфигурацию сервера. Устанавливаем нужные пакеты:
1 |
apt-get install smbclient winbind |
После этого настраиваем SMB и Kerberos для нашего домена. После внесения настроек в файл конфигурации вводим сервер в домен командой:
1 |
net join -I-U |
Проверяем наши действия командой:
1 |
wbinfo –t |
Ожидаем положительного ответа.
Далее выводим список пользователей командой:
1 |
wbinfo –u |
Теперь наша главная задача – сделать так, чтобы пользователи конкретной группы могли авторизироваться на VPN под своими учетными данными.
Для этого создаем группу в домене (например: VPNUsers) и узнаем ее SID, выполнив команду:
1 2 |
wbinfo -n/usr/bin/ntlm_auth .helper-protocol=ntlm-server-1 --username= |
Получаем что-то вроде:
1 |
S-1-5-21-2762171828-443945137-2820623913-1624 |
Запоминаем, поскольку это нам понадобится дальше.
Теперь нужно изменить систему авторизации в конфигурации VPN сервера.
Для этого переходим в конфигурацию PPTPD по следующему пути:
1 |
/etc/pptpd.conf |
Здесь мы активируем возможность NT авторизаци, дописав в конце конфигурации:
1 2 3 4 5 |
chapms-strip-domain plugin winbind.so ntlm_auth-helper "/usr/bin/ntlm_auth --helper-protocol=ntlm-server-1 --require-membership-of=НАШ SID,полученный выше" |
Если Вы все сделали правильно, то теперь у Вас есть VPN сервер с NT авторизацией пользователей.
Ну все! Теперь точно the end:)