Autenticar VPN Host a LAN con el servidor AD/LDAP

Vigor Router admite la autenticación de conexiones de VPN de marcación remota de PPT/SSL a través de servidores externos RADIUS/LDAP/AD/TACACS+ al mismo tiempo. Ahora los usuarios pueden elegir entre autenticar usuarios de VPN desde la base de datos local o por servidores externos con flexibilidad. Este artículo explicará cómo configurar Vigor Router para usar un servidor LDAP/AD externo para la autenticación de VPNn.

1. Vaya a Applications >> Active Directory /LDAP para obtener la siguiente página para configurar LDAP. Hay tres tipos de modo de enlace compatibles:

• Modo simple - simplemente realiza la autenticación de enlace sin ninguna acción de búsqueda. Se usa normalmente cuando los usuarios están en la misma carpeta/nivel en el servidor AD/LDAP.
• Modo anónimo - realiza primero una acción de búsqueda con la cuenta anónima y luego realiza la autenticación de enlace. Raras veces se utiliza, de hecho, Windows AD Server se niega a autenticar la cuenta anónima de forma predeterminada.
• Modo Regular - En general, es igual al modo anónimo. La diferencia es que el servidor primero comprobará si tiene la autoridad de búsqueda. Se requieren DN normal y Contraseña regular para usar el Modo regular. A menudo se usa cuando los usuarios están en diferentes subcarpetas en el servidor AD/LDAP.

Usaremos el modo regular como ejemplo. Supongamos que el servidor Draytek LDAP tiene OU People y OU RD1/RD2/RD3 en OU People, y los usuarios en OU RD1/RD2/RD3 están autorizados para el acceso VPN.

2. Ingrese la dirección IP del servidor LDAP/AD e ingrese DN normal y Contraseña regular. En modo regular, Vigor Router enviará solicitud de enlace con este DN normal y contraseña normal al servidor LDAP/AD. Una vez que el servidor aprueba la solicitud de vinculación, Vigor Router puede realizar una búsqueda; luego, el servidor LDAP puede ayudar a encontrar el DN del usuario exacto en diferentes subcarpetas. Haga clic en OK, luego Vigor solicitará un reinicio del sistema.

Nota: Si el servidor LDAP que tiene usted es el servidor Windows AD, siempre use cn = como inicio de DN normal.

3. Cree perfiles de servidor LDAP. Haga clic en la pestaña Active Directory/LDAP para abrir la página web del perfil y haga clic en cualquiera de los enlaces del número de índice.

4. Ingrese un nombre de perfil, y podemos usar el ícono de Buscar para ingresar rápidamente el Nombre distinguido de base (Base Distinguished Name ) o el Nombre de distinción de grupo (Group Distinguish Name) una vez que el servidor haya autenticado la Contraseña/DN normal que Vigor Router vincula en el modo Regular. En este ejemplo, queremos que los usuarios bajo OU RD1/RD2/RD3 puedan crear VPN. Por lo tanto, seleccionamos la OU superior, OU=people que contienen OU RD1/RD2/RD3, para Nombre Distinguido Base, luego hacemos clic en OK.

5. (Opcional) El DN grupal se usa mientras el administrador desea hacer un filtrado adicional. Si DN base y DN grupal están configurados, la cuenta de usuario debe estar disponible en ambas vías; de lo contrario, no puede pasar la autenticación.

6. Configure Vigor para autenticar Host to LAN VPN con el servidor externo: Vaya a VPN and Remote Access >> PPP General Setup, y habilite AD/LDAP y el perfil creado en los pasos anteriores.

Después de la configuración anterior, los clientes remotos podrán establecer VPN con las cuentas de usuario en el servidor LDAP.

Nota:

1. Hay 4 métodos de autenticación PPP: usuario de marcación remota (la base de datos local), RADIUS, AD/LDAP, TACACS +. Cuando todos ellos están habilitados y un cliente VPN remoto está solicitando la autenticación, Vigor Router primero comprobará si coincide con los perfiles de acceso VPN de marcación remota. De lo contrario, Vigor reenviará la información de autenticación al servidor RADIUS. Si la autenticación en el servidor RADIUS falla, la información se pasará al servidor LDAP/AD.
2. Al usar el servidor LDAP para la autenticación, como una limitación de la autenticación LDAP, debemos elegir PAP como protocolo de seguridad en la marcación a través de Smart VPN Client, esto hará que PPTP VPN se establezca sin cifrado; por lo tanto, se sugiere usar la autenticación RADIUS para mayor seguridad.

Solución de problemas

Al usar el servidor de Windows AD para la autenticación, podemos probar la cuenta de vinculación "vpn-user" ejecutando ldp.exe. para conectarse a un Controlador de Dominio del servidor Windows AD y luego realizar un Enlace Simple en el servidor AD. Si Simple Bind en el servidor AD funciona, pero VPN aún no puede pasar la autenticación AD, proporcione la siguiente información y envíela por correo electrónico a [email protected] para nuestro análisis.

• Paquetes Wireshark en el servidor LDAP/AD
• Capturas de pantalla de la cuenta de usuario en el servidor AD/LDAP
• Capturas de pantalla de las configuraciones LDAP/AD en Vigor Router
• Información de gestión remota para Vigor Router
• Una cuenta/contraseña en el servidor LDAP/AD para probar de forma remota