MPD + Windows NPS (IAS – Radius)
Захотелось прикрутить к мпд аутентификацию в домене с планами использовать сертификаты и смарт-карты в будущем.
Сейчас, однако, будем рассматривать MS-CHAPv2.
Так вот, схема работы примерно такая (картинка честно копи-пастед фром технет):
Наш мпд конфиг примерно такой (это уже кусочек по радиусу):
load radius
set iface enable proxy-arp
set iface disable on-demand
set iface idle 0
set iface enable tcpmssfix
set bundle yes crypt-reqd
set ipcp yes vjcomp
set mppc yes e40
set mppc yes e56
set mppc yes e128
set mppc yes stateless
create link template L pptp
set link action bundle B
set link yes acfcomp protocomp
set link enable multilink
set link disable pap
set link enable chap-msv2
set link keep-alive 10 60
set link mtu 1460
set pptp self 100.100.100.100
set pptp disable windowing
set link enable incoming
set ippool add pool2 192.168.30.100 192.168.30.110
set ipcp ranges 192.168.30.100/24 ippool pool1
set ipcp dns 192.168.1.101
set ipcp nbns 192.168.1.101radius:
set radius server 192.168.1.101 password # our radius-server with the password
set radius retries 3
set radius timeout 3
set radius me 192.168.1.1 # our mpd-server address
set auth acct-update 300
set auth enable radius-auth
set auth enable radius-acct
set radius enable message-authentic
И вроде, бы, все правильно, но …При попытке входя пользователя (кстати, нужно поставить галочку “использовать домен”) выдается сообщение “user does not have permissions to dial-in”.
Проверяю – все стоит – юзеру разрешено. Замечу, что настраивал я NPS, как и положено, через мастер на стартовой странице.
Так вот, после пересмотра сделанных им конфигов, нашел вот что: в тип сервера стоял Remote Access Server(т.е. настроило под виндовый сервер), а для 802.1х(т.е. стандартный радиус) рекомендация, тут же, поставить Unspecified.
Ставим, – и, о чудо, все заработало.
Ставлю юзеру статику – работает по адресу из АД, убираю – ставит адрес из пула.
От така х…, малята. 🙂
Win2k8 + event subscription Squid + Java applets + Client Bank