Integracja uwierzytelniania użytkowników VPN z Active Directory

Uwierzytelnianie użytkowników VPN wykorzystujące nazwę użytkownika oraz hasło standardowo opiera się na lokalnej bazie danych zdefiniowanej VPN and Remote Acess >> Remote Dial-in User.
Jeśli posiadasz zewnętrzną bazę danych użytkowników Active Directory to możesz ją wykorzystać do uwierzytelniania użytkowników VPN.

1. Serwer Active Directory

Przykładowy użytkownik Jan Kowalski.
cn=Jan Kowalski
sAMAccountName=jan.kowalski
userPrincipalName=jan.kowalski@test.lan

Użyj AD Explorer jeśli chcesz zweryfikować szczegółowe atrybuty użytkownika.

2. Konfiguracja serwera VPN

Routery Vigor wspierają trzy tryby integracji z ActiveDirectory/LDAP:

  • Simple Mode: router próbuje uwierzytelnić użytkownika bez wcześniejszego wyszukiwania. Nazwa użytkownika w kliencie VPN musi być jako cn np. Jan Kowalski.
  • Anonymous: router przeszukuje bazę danych w trybie anonimowym a następnie próbuje uwierzytelnić użytkownika. Serwer Windows AD domyślnie nie akceptuje anonimowych żądań.
  • Regular Mode: router przeszukuje bazę danych po wcześniejszym uwierzytelnieniu kontem z odpowiednimi uprawnieniami a następnie próbuje uwierzytelnić użytkownika. Nazwa użytkownika w kliencie VPN może być jako cn np. Jan Kowalski lub sAMAccountName np. jan.kowalski, gdyż w procesie searchRequest router użyje uid, cn, sAMAccountName, CN w celu wyszukania DN użytkownika.

Przejdź do General Setup w zakładce Applications >> Active Directory/LDAP.
Zaznacz Enable, aby włączyć.
Wybierz typ Regular Mode.
W polu Server Address wpisz adres IP serwera Active Directory.
Wprowadź nazwę wyróżniającą administratora z uprawnieniami do przeszukiwania bazy oraz jego hasło.

Przejdź do General Setup w zakładce Applications >> Active Directory/LDAP.
Kliknij indeks 1.

W polu Name wpisz dowolną nazwę profilu.
W polu Common Name Identifier wpisz cn.
W polu Base Distinguished Name wpisz podstawową nazwę wyróżniającą np. OU=ABC,DC=test,DC=lan , w której znajdują się użytkownicy.
W trybie Annonymous oraz Regular Mode możesz skorzystać z podglądu.

Jeśli w polu Additional Filter wpiszesz msNPAllowDialin=TRUE to użytkownik musi mieć włączony dostęp Dial-in, aby ustanowić połączenie VPN.

Jeśli w polu Group Distinguished Name wpiszesz nazwę wyróżniającą grupy np. CN=ABC VPN,OU=ABC,DC=test,DC=lan to użytkownik musi dodatkowo znajdować się w tej grupie, aby ustanowić połączenie VPN.

Przejdź do zakładki VPN and Remote Access >> Remote Access Control.
Sprawdź czy jest włączona obsługa protokołu, którego chcesz użyć
Przejdź do zakładki VPN and Remote Access >> PPP General Setup.
Zaznacz AD/LDAP i wskaż stworzony profil.
Wybierz podsieć LAN, z której będą przydzielane adresy IP.

Domyślny priorytet sprawdzania baz danych użytkowników: Remote Dial-in User -> RADIUS -> AD/LDAP

Jeśli chcesz utworzyć połączenie L2TP over IPsec to przejdź do zakładki VPN and Remote Access >> IPsec General Setup i wpisz klucz wspólny.

3. Konfiguracja klienta VPN

Konfiguracja klienta VPN jest analogiczna jak w przypadku korzystania z lokalnej bazy danych (Remote Dial-in User).

Zapoznaj się z przykładami Smart VPN:
VPN Host-LAN L2TP over IPsec dla Windows – klient Smart VPN

Zapoznaj się z przykładami Windows VPN:
VPN Host-LAN L2TP over IPsec dla Windows – klient wbudowany

W kliencie VPN wymuś uwierzytelnianie PAP.

Smart VPN:

Windows VPN:

Połączenie PPTP z szyfrowaniem MPPE wymaga MS-CHAPv2, co nie jest wspierane przy integracji z AD.
Jeśli chcesz utworzyć PPTP z szyfrowaniem MPPE to użyj RADIUS.
Integracja uwierzytelniania użytkowników VPN z RADIUS