那些遇到过的问题

向 Mac OS X Mavericks Server L2TP VPN 服务验证 Active Directory 用户

sar*_*ean 2 vpn active-directory mac-osx-server authentication l2tp

我们有一个包含两个域控制器的 Windows Server 2012 Active Directory 基础结构。绑定到 Active Directory 域的是 Mac OS X Mavericks Server 10.9.3。服务器运行配置文件管理器和 VPN 服务。我的 Active Directory 用户能够通过配置文件管理器进行身份验证,但不能通过 VPN。

我在其他用户的其他论坛上发现了几个报告类似问题的主题,这里只是众多参考资料之一:https : //discussions.apple.com/thread/5174619

问题似乎与 CHAP 身份验证失败有关。

  • 谁能建议我接下来可能采取的故障排除步骤?
  • 有没有办法放宽身份验证机制以包括 MS-CHAPv2?

以下是日志中交易的摘录。请注意,域已更改为 example.com。

Jun 6 15:25:03 profile-manager.example.com vpnd[10317]: Incoming call... Address given to client = 192.168.55.217 Jun 6 15:25:03 profile-manager.example.com pppd[10677]: publish_entry SCDSet() failed: Success! Jun 6 15:25:03 --- last message repeated 2 times --- Jun 6 15:25:03 profile-manager.example.com pppd[10677]: pppd 2.4.2 (Apple version 727.90.1) started by root, uid 0 Jun 6 15:25:03 profile-manager.example.com pppd[10677]: L2TP incoming call in progress from '108.46.112.181'... Jun 6 15:25:03 profile-manager.example.com racoon[257]: pfkey DELETE received: ESP 192.168.55.12[4500]->108.46.112.181[4500] spi=25137226(0x17f904a) Jun 6 15:25:04 profile-manager.example.com pppd[10677]: L2TP connection established. Jun 6 15:25:04 profile-manager kernel[0]: ppp0: is now delegating en0 (type 0x6, family 2, sub-family 0) Jun 6 15:25:04 profile-manager.example.com pppd[10677]: Connect: ppp0 <--> socket[34:18] Jun 6 15:25:04 profile-manager.example.com pppd[10677]: CHAP peer authentication failed for alex Jun 6 15:25:04 profile-manager.example.com pppd[10677]: Connection terminated. Jun 6 15:25:04 profile-manager.example.com pppd[10677]: L2TP disconnecting... Jun 6 15:25:04 profile-manager.example.com pppd[10677]: L2TP disconnected Jun 6 15:25:04 profile-manager.example.com vpnd[10317]: --> Client with address = 192.168.55.217 has hung up

Eva*_*son 5

CHAP 要求身份验证服务器可以访问明文密码。默认情况下,Active Directory 不存储纯文本密码,因此 CHAP 不起作用。

您似乎可以修改VPN 服务器配置文件( com.apple.RemoteAccessServers.plist) 以使用 MS-CHAPv2 身份验证协议。鉴于该协议弱点,我真的不建议使用它。您唯一的选择是带有 RSA 令牌或 Kerberos 的 EAP。由于您已经拥有 Active Directory 环境,我认为让您的 OS X VPN 服务器加入域并尝试使用 Kerberos 可能是您最好的选择。(话虽如此,但我对此几乎没有经验,无法为您提供任何循序渐进的指导。)

归档时间:

查看次数:

4113 次

最近记录:

9 年,11 月 前
相关归档
如何使用代理 PAC 文件自动配置用户名/密码? 14
有没有办法审计特定密码的 AD? 8
GPO 最佳实践:安全组过滤与 OU 7
在仅限 O365 的公司中设置 Windows 域 6
是否有可能不复制架构更改,并且使用该架构的对象到达 DC? 6
ISP 可以做什么来阻止 IPSEC 流量? 4
子域和父域之间的 AD 单向信任 4
Active Directory / DNS 命名设计、多站点、单域、 4
不同公司网络之间的安全性 - 共享内部 ASP.NET 应用程序? 2
无法联系域的 Active Directory 域控制器 .... 0
难疑归档
如何验证网卡的速度? 153
如何在 PostgreSQL 8.4 中查看活动连接和“当前活动” 141
如何在 Windows Powershell 中区分两个文本文件? 128
小家伙们如何有效地学习和使用Puppet呢? 110
负载均衡器后面的每个服务器都需要自己的 SSL 证书吗? 76
在用于周期性任务时保持 docker 容器启动的正确方法 62
您的系统管理员不允许使用保存的凭据登录远程计算机 61
2-4GB 系统上有多少 SWAP 空间? 53
如何删除丢失的 systemd 单元? 53
具有并行处理功能的更好的 Unix 查找? 52