Аутентификация LDAP: Windows Server2k3 по сравнению с 2k8
Я предполагаю, что Вы говорите о хостинге этой VPN с Маршрутизацией Microsoft и Удаленным доступом (RRAS) сервер.
Я снабжу предисловием путем высказывания, что я играл с такой конфигурацией, но не имею никаких подобных конфигураций, работающих в производстве.
Можно присвоить пул IP-адресов вне подсети сервера RRAS, который будет выделен к клиентам VPN. Когда я играл с этим в сценарии лаборатории, я нашел, что сервер RRAS (на W2K8 RTM, по крайней мере) начнет делать сумасшедшие вещи как ответ на запросы к его интерфейсу LAN с пакетами, полученными интерфейсом RRAS (который не находится на той же подсети как интерфейс LAN). Если можно получить маршрут в маршрутизатор, действующий как шлюз по умолчанию для подсети VPN затем, вещи должны быть прекрасными.
По общему признанию это - что-то вроде странной конфигурации. Обычно RRAS присваивает IP-адреса от той же подсети, что сервер RRAS находится в (обычно через DHCP) и действительно проксирует ARP "волшебство" заставить те клиенты, казаться, быть на том же уровне 2 как интерфейс сервера RRAS.
Когда Вы копируете это, бросаете копию "Монитора сети" или Wireshark на сервер RRAS и на самом деле наблюдаете то, что происходит с исходными адресами на пакетах. Я думаю, что это даст Вам ясный признак того, куда необходимо поместить маршруты для получения то, что Вы хотите работать.
Отображение имени LDAP изменилось между Win2K3 и 2K8. Новое отображение (для применения в/etc/ldap.conf):
nss_map_attribute uid sAMAccountName
nss_map_attribute uidNumber uidNumber
nss_map_attribute gidNumber gidNumber
nss_map_attribute cn sAMAccountName
nss_map_attribute uniqueMember member
nss_map_attribute userPassword msSFUPassword
nss_map_attribute homeDirectory unixHomeDirectory
nss_map_attribute loginShell loginShell
nss_map_attribute gecos cn
nss_map_objectclass posixGroup Group
nss_map_attribute shadowLastChange pwdLastSet
Сообщите мне, помогает ли это. Вам, вероятно, придется переместить старых пользователей также - я использовал бы ldapsearch и сравнил бы новых и старых пользователей (но я думаю, что у них просто будут оба атрибута, если я вспомню),
Я решил отправить другой ответ здесь, так как это обычно - место, где люди находят информацию, они ищут.
Пока вышеупомянутое все все еще очень допустимо и верно, я теперь нашел много, намного более легкий способ соединить мои клиенты через AD. Debian сжимают (последняя стабильная версия) содержит sssd (пакет, который происходит в среде Redhat/мягкой фетровой шляпы), который делает все это полным бризом. На установку это находит и предлагает контроллеры домена, и я только должен был изменить очень немного вещей в файле конфигурации, чтобы заставить его работать на меня. Это работает превосходное с Windows Server 2008, и это может также кэшировать пароли (важный для пользователей портативных компьютеров).