Назад | Перейти на главную страницу

Аутентификация пользователей Active Directory на сервере Mac OS X Mavericks L2TP VPN

У нас есть инфраструктура Active Directory Windows Server 2012, состоящая из двух контроллеров домена. К домену Active Directory привязан сервер Mac OS X Mavericks 10.9.3. На сервере работает диспетчер профилей и службы VPN. Мои пользователи Active Directory могут аутентифицироваться в диспетчере профилей, но не в VPN.

Я нашел несколько тем на других форумах, где другие пользователи сообщают о похожих проблемах, вот лишь одна из многих ссылок: https://discussions.apple.com/thread/5174619

Похоже, проблема связана с ошибкой аутентификации CHAP.

Может ли кто-нибудь подсказать, какие следующие шаги по устранению неполадок я могу предпринять?
Есть ли способ либерализовать механизм аутентификации, чтобы включить MS-CHAPv2?

Вот выдержка транзакции из логов. Обратите внимание, что домен был изменен на example.com.

Jun 6 15:25:03 profile-manager.example.com vpnd[10317]: Incoming call... Address given to client = 192.168.55.217 Jun 6 15:25:03 profile-manager.example.com pppd[10677]: publish_entry SCDSet() failed: Success! Jun 6 15:25:03 --- last message repeated 2 times --- Jun 6 15:25:03 profile-manager.example.com pppd[10677]: pppd 2.4.2 (Apple version 727.90.1) started by root, uid 0 Jun 6 15:25:03 profile-manager.example.com pppd[10677]: L2TP incoming call in progress from '108.46.112.181'... Jun 6 15:25:03 profile-manager.example.com racoon[257]: pfkey DELETE received: ESP 192.168.55.12[4500]->108.46.112.181[4500] spi=25137226(0x17f904a) Jun 6 15:25:04 profile-manager.example.com pppd[10677]: L2TP connection established. Jun 6 15:25:04 profile-manager kernel[0]: ppp0: is now delegating en0 (type 0x6, family 2, sub-family 0) Jun 6 15:25:04 profile-manager.example.com pppd[10677]: Connect: ppp0 <--> socket[34:18] Jun 6 15:25:04 profile-manager.example.com pppd[10677]: CHAP peer authentication failed for alex Jun 6 15:25:04 profile-manager.example.com pppd[10677]: Connection terminated. Jun 6 15:25:04 profile-manager.example.com pppd[10677]: L2TP disconnecting... Jun 6 15:25:04 profile-manager.example.com pppd[10677]: L2TP disconnected Jun 6 15:25:04 profile-manager.example.com vpnd[10317]: --> Client with address = 192.168.55.217 has hung up

CHAP требует, чтобы открытый пароль был доступен серверу аутентификации. Active Directory по умолчанию не хранит пароли в открытом виде, поэтому CHAP работать не будет.

Казалось бы, вы можете изменить Файл конфигурации VPN-сервера (com.apple.RemoteAccessServers.plist) для использования протокола аутентификации MS-CHAPv2. Учитывая слабость протокола Я не могу рекомендовать его использовать. Единственная альтернатива - EAP с токенами RSA или Kerberos. Поскольку у вас уже есть среда Active Directory, я думаю, что подключение вашего VPN-сервера OS X к домену и попытка использования Kerberos, вероятно, будет вашим лучшим выбором. (Сказав это, однако, у меня мало опыта, и я не могу дать вам никаких пошаговых указаний.)