Доменная аутентификация L2TP_over_IPSec пользователей на USG6300

150 0 2 0

При необходимости использовать AD для аутентификации пользователей, подключающихся через L2TP over IPSec на файрволах серии USG6300 (VRP V500), может возникнуть проблема взаимодействия USG и AD-сервера, несмотря на настройки сделанные по документации.

Удаленные клиенты не могут подключиться по L2TP over IPSec. В лог-журнале будут сообщения следующего вида:

USG6300 %UM/4/SYNCFAIL(l)[0]:User synchronization failed. (Vsys=public, Server Type=AD, Sync Mode=Incremental Mode, Failed Reason=The synchronization process failed.)

Это указывает что проблена не в туннельных настройках.

 

Проверяем настройки USG по работе с AD сервером:

 

 

Далее воспроизводим проблему одновременно наблюдая за debbbug AAA:

 

Sep 27 201814:48:08.7.11+03:00 USG6300 AAA/7/DEBUG:  [AAA INFO]no cfgDaaTariffLevel in service-scheme[50]
Sep 27 201814:48:08.7.12+03:00 USG6300 AAA/7/DEBUG:  [AAA INFO]Author ofDaaTariffLevel.(DaaEnableFlag=0, UpStat=0, DownStat=0, Acct=0, QosProfile1 =,QosProfile2 =,)
< USG6300>
Sep 27 201814:48:08.7.13+03:00 USG6300 AAA/7/DEBUG: [AAA ERROR]authenfinish,the authen fail reason is:17
Sep 27 201814:48:08.7.14+03:00 USG6300 AAA/7/DEBUG: [AAA INFO]Acl beforeadjust: Acl number: Car before adjust: UpCarFlag:0 UpCIR:4294967295UpPIR:4294967295 UpCBS:4294967295 UpPBS:4294967295, DnCarFlag:0,DnCIR:4294967295 DnPIR:4294967295 DnCBS:4294967295 DnPBS:4294967295
Sep 27 201814:48:08.7.15+03:00 USG6300 AAA/7/DEBUG: [AAA INFO]user infobefore adjust: user_name:*****@*****.** access_type: :10
Sep 27 201814:48:08.7.16+03:00 USG6300 AAA/7/DEBUG:  
Sep 27 201815:08:02.847.8+03:00 USG6300 AAA/7/DEBUG: AAA receiveAAA_SRV_MSG_AUTHEN_REQ message(31) from UCM module(0).
Sep 27 201815:08:02.847.9+03:00 USG6300 AAA/7/DEBUG:    DestIndex:9707 SrcIndex:9707 Slot:0
   User:*****@*****.** MAC:ffff-ffff-ffff
    Slot:0SubSlot:0 Port:0 VLAN:0
   IP:255.255.255.255 AccessType:pppolns
AuthenType:CHAP
   AdminLevel:0 EapSize:0 AuthenCode:PPP
   ulInterface:7 ChallengeLen:16 ChapID:1
   LineType:0 LineIndex:0 PortType:15
AcctSessionId:USG6300000000000000007f4d4000025eb

 

Как видим, USG использует CHAP для отправки запроса на AD сервер.

Для корректной работы необходим PAP.

 

Решение:  Меняем настройки interface Virtual-Template 0:
 ppp authentication-mode chap pap ------> ppp authentication-mode pap    

У статьи есть другие ресурсы

Требуется войти для загрузки или просмотра. Нет аккаунта?Register

x
  • x

Ответ

Отправить
Выполните вход в систему, чтобы ответить на пост. Вход | Регистрация

Внимание Внимание! В целях защиты правовых интересов Вас, сообщества и третьих лиц, не публикуйте любой материал, содержащий политические высказывания, порнографию, упоминание азартных игр, употребление наркотиков, а также материал, нарушающий коммерческую тайну или содержащий персональные данные пользователей. Также не предоставляйте данные от вашей учетной записи. Вы будете нести ответственность за все действия, выполняемые под вашим аккаунтом. Подробная информация: “Политика конфиденциальности..”
Если кнопка вложения недоступна, обновите Adobe Flash Player до последней версии.
Авторизуйтесь и пользуйтесь всеми преимуществами участника!

Авторизуйтесь и пользуйтесь всеми преимуществами участника!

Вход