Autenticar usuários do Active Directory para o Mac OS X Serviço Mavericks Server L2TP VPN

2

Temos uma infra-estrutura do Active Directory do Windows Server 2012 que consiste em dois controladores de domínio. Vinculado ao domínio do Active Directory é um Mac OS X Mavericks Server 10.9.3. O servidor executa o Profile Manager e o VPN Services. Meus usuários do Active Directory podem se autenticar no Profile Manager, mas não na VPN.

Eu encontrei vários tópicos em outros fóruns de outros usuários relatando problemas semelhantes, aqui é apenas uma das muitas referências: link

Parece que o problema está relacionado a uma falha de autenticação CHAP.

  • Alguém pode sugerir quais próximos passos de solução de problemas eu posso seguir?
  • Existe uma maneira de liberalizar o mecanismo de autenticação para incluir o MS-CHAPv2?

Aqui está um trecho da transação dos registros. Por favor, note que o domínio foi alterado para example.com.

Jun 6 15:25:03 profile-manager.example.com vpnd[10317]: Incoming call... Address given to client = 192.168.55.217 Jun 6 15:25:03 profile-manager.example.com pppd[10677]: publish_entry SCDSet() failed: Success! Jun 6 15:25:03 --- last message repeated 2 times --- Jun 6 15:25:03 profile-manager.example.com pppd[10677]: pppd 2.4.2 (Apple version 727.90.1) started by root, uid 0 Jun 6 15:25:03 profile-manager.example.com pppd[10677]: L2TP incoming call in progress from '108.46.112.181'... Jun 6 15:25:03 profile-manager.example.com racoon[257]: pfkey DELETE received: ESP 192.168.55.12[4500]->108.46.112.181[4500] spi=25137226(0x17f904a) Jun 6 15:25:04 profile-manager.example.com pppd[10677]: L2TP connection established. Jun 6 15:25:04 profile-manager kernel[0]: ppp0: is now delegating en0 (type 0x6, family 2, sub-family 0) Jun 6 15:25:04 profile-manager.example.com pppd[10677]: Connect: ppp0 <--> socket[34:18] Jun 6 15:25:04 profile-manager.example.com pppd[10677]: CHAP peer authentication failed for alex Jun 6 15:25:04 profile-manager.example.com pppd[10677]: Connection terminated. Jun 6 15:25:04 profile-manager.example.com pppd[10677]: L2TP disconnecting... Jun 6 15:25:04 profile-manager.example.com pppd[10677]: L2TP disconnected Jun 6 15:25:04 profile-manager.example.com vpnd[10317]: --> Client with address = 192.168.55.217 has hung up

    
por sardean 07.06.2014 / 01:04

1 resposta

5

O CHAP exige que a senha de texto simples seja acessível ao servidor de autenticação. O Active Directory não armazena senhas em texto simples por padrão, então o CHAP não funcionará.

Parece que você pode modificar a configuração do servidor VPN arquivo ( com.apple.RemoteAccessServers.plist ) para usar o protocolo de autenticação MS-CHAPv2. Dada a fraqueza do protocolo , não posso recomendar usar isto. Suas únicas alternativas são o EAP com tokens RSA ou Kerberos. Como você já tem um ambiente do Active Directory, acho que conectar seu servidor OS X VPN ao domínio e tentar usar o Kerberos é provavelmente sua melhor opção. (Dito isso, porém, é algo com o qual não tenho mais experiência e não posso dar a você nenhum tipo de direção passo a passo.)

    
por 07.06.2014 / 02:13