最近想搞下认证的集成工作。从ocserv到samba,到krb5,到krb5kdc,到freeradius,到 winbindd,到SSSD。整了一圈,我就搞个认证,我为什么要把整个Linux加到域里面去。
去官方找文档,还是上古时代的配置。基本上能找的教程都是七八年以前的。现在行业卷成这么样了。我只是想把vpn的认证集成到AD域,怎么感觉这么难。总不能让我倒回去用旧软件。
可能说我白嫖习惯了。但却是如今的很多教程都鼠头蛇尾。我这最多参考,想抄也不行啊!
下面是我折腾的经验,参考了如下两篇文章
https://wiki.freeradius.org/guide/freeradius-active-directory-integration-howto
1,当初我也被这种配置理解错误了。其实是Anyconnect客户端只支持单纯的Route或者NoRoute,或者转发所有流量(只能选择其一)。如果Route和NoRoute同时存在ocserv的配置中ocserv可以运行。但是Anyconnect客户端不接受。
2,此Anyconnect vpn形式,第一要开启转发,第二要打开NAT。也就是以下命令
vi sysctl.conf #编辑此文件
net.ipv4.ip_forward = 1 #设置参数为 1
iptables -t nat -A POSTROUTING -j MASQUERADE #开启NAT
iptables-save #保存规则3,route的意思,我只路由你设置的网段。其他网段我不路由。noroute的意思是,我不路由你的设置的网段,其他的我全部路由。default的意思就是,我路由全部流量。这个规则是建立在客户端的,而非服务器。相当于下发路由。