解决L2TP用户接入使用LDAP认证实施方案

发布时间:  2014-05-21 浏览次数:  597 下载次数:  0
问题描述
某局点客户使用USG5500 防火墙做L2TP VPN ,要求使用LDAP做用户源配合L2TP VPN做认证。

客户拓扑如下:


  PC---USGV3R1----Internet
告警信息
处理过程
具体配置如下:
PC采用VPN Client L2TP方式接入设备。

[USG5500-Virtual-Template1]dis th                                              
09:00:10  2014/05/20                                                           
#                                                                              
interface Virtual-Template1                                                    
ppp authentication-mode pap                                                   
alias Virtual-Template1                                                       
ip address 1.1.1.1 255.255.255.0        

配置L2TP

l2tp enable                                                                   
l2tp domain suffix-separator @
l2tp-group 1
allow l2tp virtual-template 1
tunnel password cipher %$%$FrAJJ^(-~<jpnD+#lbB#'6-$%$%$
tunnel name abc


配置认证方式
配置LDAP服务器

ldap-server template asg_test
ldap-server authentication 192.168.50.10 389
ldap-server authentication base-dn dc=asg-test,dc=com,dc=cn
ldap-server authentication manager cn=administrator,cn=users
%$%$@L1n.PKveArWWz4S:LS+'sja%$%$ %$%$@L1n.PKveArWWz4S:LS+'sja%$%$
ldap-server group-filter ou
ldap-server user-filter sAMAccountName


AAA下认证配置,这里授权模式一定要配置为none,否则会因为授权失败导致L2TP用户无法接入。

authentication-scheme abc                                                     
authentication-mode  ldap                                                    
authorization-scheme abc                                                      
authorization-mode  none      
domain asg-test.com.cn                                                        
authentication-scheme  abc                                                   
authorization-scheme abc                                                     
ldap-server asg_test                                                         
ip pool 1 192.168.50.20  192.168.50.30

AAA默认使用default认证、授权和计费方案,若配置使用domain域,domain域不配置的情况下也默认使用的是default认证、授权和计费方案,default方案默认为本地认证、授权和计费。

根因
建议与总结
LDAP认证也是支持CHAP认证的,只是需要在AD服务器上对用户的密码为CHAP-MD5的方式进行保存即可。

END