以QNAP NAS为例,说明如何设置通过NAS上的LDAP服务器认证拨入VPN。
本文适用:
1. Vigor 2960,Vigor 3900
2. Vigor 2912,Vigor 2922,Vigor 2133,Vigor 2925,Vigor 2952,Vigor 3220等DrayOS路由器。
首先,在QNAP控制面板上找到LDAP服务器,打开。设置如下图:
完整的域名:可以根据自己公司的情况来设定,本例中,我设置为draytek.com
密码,自行设定,该密码用户路由器连接LDAP服务器时认证使用(认证通过才能从LDAP服务器获取用户信息)
下面三个DN,在点击页面应用按钮后,会自动根据您设置的域名来生成。
设置完LDAP服务器,点击用户选项卡来新增用户。
点击创建用户,设置一个用户名和密码,本例中用户名密码我都设置为test。
此时,如果使用第三方工具LDAP Admin来查看,设置如下:
设置完成,双击连接,就可以看到该LDAP服务器的目录结构,可以看到,我们的test用户是在ou=people,dc=draytek,dc=com下的
以下介绍路由器设定:
Vigor 2960、Vigor3900
首先打开 用户管理 >> LDAP / AD活动目录管理
设置一个设定档,如下图。
由于我们的用户test建立在ou=people分支下,所以基本识别名称是ou=people,dc=draytek,dc=com.
正规识别名称(Regular DN)填写cn=draytek,dc=draytek,dc=com
根据前面ldap admin列表中看到的test用户的识别符是uid,所以通用名称标识符写uid
(注意,实际的dc后面的字段根据您网络实际情况填写,并不是随便哪里都填draytek)
点击应用保存设定。
接下来,要让VPN拨号可以引用这个LDAP设定,使用LDAP服务器来认证。
在Vigor 2960的 VPN以及远程访问 >> PPP基本设定,用户验证类型选择LDAP,LDAP设定选择刚刚配置的设定档,如图我选择了刚才配置的档名为profile的设定档,然后点击右下角的应用按钮保存设定。
然后在VPN拨号时,就可以通过刚才设定的test用户拨到Vigor 2960了。拨号成功如下图。
DrayOS系列路由器设定:
如果是DrayOS路由器,例如Vigor 2912, Vigor 2922等型号,设定如下。
首先,在应用程序 >> 活动目录 / LDAP菜单,基本设定如下图:
设定完成,点击“活动目录/LDAP设定档”,去设置一个设定档,如下图:
如果基本设定正确的话,这里是可以点下图中箭头指向的下图标,去列出LDAP目录结构的,而且可以直接通过选中我们设置vpn用户的分支,将“基准区别名称”直接复制到输入框。
设定完成,点确定,完成LDAP设定。
然后,到VPN和远程拨入 >> PPP基本设定 页面,将PPP拨入验证改为仅PAP,加密改为可选MPPE,右边的认证方法,选择LDAP和刚刚设定的“vpnuser”配置档。至此,通过LDAP认证VPN用户就已经设置完成。
使用客户端拨号到这台路由器,就可以使用NAS上配置的LDAP用户来通过认证连入VPN
