使用 Active Directory 和 Sonicwall TZ 200 设备验证 VPN?

使用 Active Directory 和 Sonicwall TZ 200 设备验证 VPN?

这个背景是,我不是系统管理员,但我正在尽力,所以请耐心等待。:)

我们的最终目标是希望用户能够使用他们的 Active Directory 凭据通过我们的 Sonicwall TZ 200 设备通过 VPN 访问网络资源。

一些说明:

  1. 目前,我们的 Sonicwall 设备正在运行最新版本的 SonicwallOS 固件。
  2. Sonicwall VPN 设置为使用本地用户 + RADIUS,运行良好。本地用户已设置为具有共享密钥的“userABC”,并且能够使用基本的 Windows 或 Mac vpn 客户端进行连接,然后访问防火墙后面的资源。
  3. Active Directory 框设置了内部域“internal.specialsuperdomain.com”,我们可以从防火墙内部将用户和框添加到域中。这样就没问题了。
  4. 我们只需设置 SonicWall LDAP 设置即可与我们的内部 Active Directory 控制器集成。我可以对用户进行身份验证”[电子邮件保护]“在 LDAP 集成测试页面上。
  5. 每次我对 Sonicwall 上的 LDAP 集成进行更改时,我都会收到来自 Sonicwall 设备的警告,提示 L2TP 服务器使用 CHAP 设置,而 Active Directory 不支持 CHAP。我想这就是我的问题所在。当我将用户设置更改为“LDAP + 本地用户”并且用户尝试使用其 Active Directory 凭据进行 VPN 连接时,他们会收到身份验证失败错误(在 Mac 上测试),并且 SonicWall 会记录由于该用户“检测到 IP 欺骗”错误而丢弃的数据包。

我曾想过也许我需要使用 LDAP + Radius 来弥补 VPN 和 Active Directory 之间的差距,但我不确定。我正在查看我能找到的所有 Sonicwall 文档,但到目前为止我没有看到任何有用的信息。有什么提示或想法吗?我应该如何设置?

更新:我们的域设置为“Windows Server 2008”功能级别。我们无法使用 Windows 2000 之前的格式“域\用户名”从 Sonicwall 进行身份验证,我推测是因为域未设置为 Windows Server 2003 功能级别。我们能够使用更新的完整用户名从 Sonicwall 进行身份验证(“[电子邮件保护]“),因此我们一直尝试以同样的方式对 VPN 进行身份验证。

答案1

您可能考虑在 Win2k8 DC 上运行 RRAS + PPTP,然后转发必要的端口。这样从 AD 内部进行访问控制就容易得多。这就是我公司设置的方式,效果很好。YMMV。

答案2

我想在安全的环境中尝试这一点,关于如何在不允许访问生产 AD 的情况下进行设置,有什么建议吗?

黛安

相关内容