Московский государственный университет имени М.В.Ломоносова
Опубликован: 28.11.2014 | Доступ: свободный | Студентов: 1395 / 128 | Длительность: 23:26:00
ISBN: 978-5-9556-0163-2
Лабораторная работа 14:

Использование сервера LDAP/MS AD для хранения учетных записей

< Лекция 13 || Лабораторная работа 14

Цель

Учетные записи пользователей хранятся в MS AD сервере.

Топология сети


Описание практической работы

1. Создать AD с DNS-именем olga.oit.cmc.msu.ru


2. На межсетевом экране создать внешнюю базу данных пользо-вателей. DNS-имя MS Active Directory указывается при созда-нии этой базы данных.

Веб-интерфейс:

User Authentication → External User Databases → Add → LDAP Server

В поле Base Object DNS-имя указано в формате DN, в поле Domain Name в формате DNS.

3. В AD создать контейнер хранения учетных записей удаленных пользователей.


Или использовать существующий контейнер, например, Users:


Имя этого контейнера указывается в параметрах создания внешней базы данных пользователей на межсетевом экране, который выполняет функции NAS и является клиентом RADIUS.


4. В выбранном контейнере создать пользователя, в нашем случае создается пользователь l2tp_user в контейнере l2tp.


5. Имя этого пользователя указывается на противоположной сто-роне туннеля (в нашем случае на стороне L2TP-клиента).

Веб-интерфейс:

Interfaces → PPTP/L2TPClients → Add → PPTP/L2TPClient

6. Имя пользователя в AD является значением атрибута sAMAccountName.


7. Имя этого атрибута указывается в поле Name Attribute в параметрах создания внешней базы данных пользователей на межсетевом экране.


8. Аутентификация противоположной стороны туннеля (в нашем случае L2TP-клиента) выполняется по значению поля, имя которого указано в поле Password Attribute в параметрах со-здания внешней базы данных пользователей на межсетевом экране.


9. Тип этого поля должен быть Text.


10. Значение поля указывается в AD.


11. И на противоположной стороне туннеля (в нашем случае L2TP-клиента) в качестве значения пароля.


К AD посылается следующий запрос:


Ответ от AD следующий:


Значение поля description, которое является паролем пользователя, передается в открытом виде. Следовательно, канал между межсетевым экраном и AD должен быть защищен.

< Лекция 13 || Лабораторная работа 14