Integracja uwierzytelniania użytkowników VPN z Active Directory

Uwierzytelnianie użytkowników VPN wykorzystujące nazwę użytkownika oraz hasło standardowo opiera się na lokalnej bazie danych zdefiniowanej VPN and Remote Acess >> Remote Dial-in User.
Jeśli posiadasz zewnętrzną bazę danych użytkowników Active Directory to możesz ją wykorzystać do uwierzytelniania użytkowników VPN.

1. Serwer Active Directory

Przykładowy użytkownik Jan Kowalski.
cn=Jan Kowalski
sAMAccountName=jan.kowalski
userPrincipalName=jan.kowalski@test.lan

Użyj AD Explorer jeśli chcesz zweryfikować szczegółowe atrybuty użytkownika.

2. Konfiguracja serwera VPN

Routery Vigor wspierają trzy tryby integracji z ActiveDirectory/LDAP:

  • Simple Mode: router próbuje uwierzytelnić użytkownika bez wcześniejszego wyszukiwania. Nazwa użytkownika w kliencie VPN musi być jako cn np. Jan Kowalski.
  • Anonymous: router przeszukuje bazę danych w trybie anonimowym a następnie próbuje uwierzytelnić użytkownika. Serwer Windows AD domyślnie nie akceptuje anonimowych żądań.
  • Regular Mode: router przeszukuje bazę danych po wcześniejszym uwierzytelnieniu kontem z odpowiednimi uprawnieniami a następnie próbuje uwierzytelnić użytkownika. Nazwa użytkownika w kliencie VPN może być jako cn np. Jan Kowalski lub sAMAccountName np. jan.kowalski, gdyż w procesie searchRequest router użyje uid, cn, sAMAccountName, CN w celu wyszukania DN użytkownika.

Przejdź do General Setup w zakładce Applications >> Active Directory/LDAP.
Zaznacz Enable, aby włączyć.
Wybierz typ Regular Mode.
W polu Server Address wpisz adres IP serwera Active Directory.
Wprowadź nazwę wyróżniającą administratora z uprawnieniami do przeszukiwania bazy oraz jego hasło.

Przejdź do General Setup w zakładce Applications >> Active Directory/LDAP.
Kliknij indeks 1.

W polu Name wpisz dowolną nazwę profilu.
W polu Common Name Identifier wpisz cn.
W polu Base Distinguished Name wpisz podstawową nazwę wyróżniającą np. OU=ABC,DC=test,DC=lan , w której znajdują się użytkownicy.
W trybie Annonymous oraz Regular Mode możesz skorzystać z podglądu.

Jeśli w polu Additional Filter wpiszesz msNPAllowDialin=TRUE to użytkownik musi mieć włączony dostęp Dial-in, aby ustanowić połączenie VPN.

Jeśli w polu Group Distinguished Name wpiszesz nazwę wyróżniającą grupy np. CN=ABC VPN,OU=ABC,DC=test,DC=lan to użytkownik musi dodatkowo znajdować się w tej grupie, aby ustanowić połączenie VPN.

Przejdź do zakładki VPN and Remote Access >> Remote Access Control.
Sprawdź czy jest włączona obsługa protokołu, którego chcesz użyć
Przejdź do zakładki VPN and Remote Access >> PPP General Setup.
Zaznacz AD/LDAP i wskaż stworzony profil.
Wybierz podsieć LAN, z której będą przydzielane adresy IP.

Domyślny priorytet sprawdzania baz danych użytkowników: Remote Dial-in User -> RADIUS -> AD/LDAP

Jeśli chcesz utworzyć połączenie L2TP over IPsec to przejdź do zakładki VPN and Remote Access >> IPsec General Setup i wpisz klucz wspólny.

3. Konfiguracja klienta VPN

Konfiguracja klienta VPN jest analogiczna jak w przypadku korzystania z lokalnej bazy danych (Remote Dial-in User).

Zapoznaj się z przykładami Smart VPN:
VPN Host-LAN L2TP over IPsec dla Windows – klient Smart VPN

Zapoznaj się z przykładami Windows VPN:
VPN Host-LAN L2TP over IPsec dla Windows – klient wbudowany

W kliencie VPN wymuś uwierzytelnianie PAP.

Smart VPN:

Windows VPN:

Połączenie PPTP z szyfrowaniem MPPE wymaga MS-CHAPv2, co nie jest wspierane przy integracji z AD.
Jeśli chcesz utworzyć PPTP z szyfrowaniem MPPE to użyj RADIUS.
Integracja uwierzytelniania użytkowników VPN z RADIUS

W tej witrynie stosujemy pliki cookies. Standardowe ustawienia przeglądarki internetowej zezwalają na zapisywanie ich na urządzeniu końcowym Użytkownika. Kontynuowanie przeglądania serwisu bez zmiany ustawień traktujemy jako zgodę na użycie plików cookies. Więcej informacji w Polityce Cookies.

Akceptuję