向 Mac OS X Mavericks Server L2TP VPN 服务验证 Active Directory 用户身份

向 Mac OS X Mavericks Server L2TP VPN 服务验证 Active Directory 用户身份

我们有一个由两个域控制器组成的 Windows Server 2012 Active Directory 基础架构。绑定到 Active Directory 域的是 Mac OS X Mavericks Server 10.9.3。该服务器运行配置文件管理器和 VPN 服务。我的 Active Directory 用户可以向配置文件管理器进行身份验证,但不能向 VPN 进行身份验证。

我在其他论坛上发现了其他用户报告类似问题的几个帖子,这里只是众多参考资料之一:https://discussions.apple.com/thread/5174619

该问题似乎与 CHAP 身份验证失败有关。

  • 有人能建议我下一步可以采取什么故障排除步骤吗?
  • 有没有办法放宽身份验证机制以包含 MS-CHAPv2?

以下是日志中交易的摘录。请注意,域名已更改为 example.com。

Jun 6 15:25:03 profile-manager.example.com vpnd[10317]: Incoming call... Address given to client = 192.168.55.217 Jun 6 15:25:03 profile-manager.example.com pppd[10677]: publish_entry SCDSet() failed: Success! Jun 6 15:25:03 --- last message repeated 2 times --- Jun 6 15:25:03 profile-manager.example.com pppd[10677]: pppd 2.4.2 (Apple version 727.90.1) started by root, uid 0 Jun 6 15:25:03 profile-manager.example.com pppd[10677]: L2TP incoming call in progress from '108.46.112.181'... Jun 6 15:25:03 profile-manager.example.com racoon[257]: pfkey DELETE received: ESP 192.168.55.12[4500]->108.46.112.181[4500] spi=25137226(0x17f904a) Jun 6 15:25:04 profile-manager.example.com pppd[10677]: L2TP connection established. Jun 6 15:25:04 profile-manager kernel[0]: ppp0: is now delegating en0 (type 0x6, family 2, sub-family 0) Jun 6 15:25:04 profile-manager.example.com pppd[10677]: Connect: ppp0 <--> socket[34:18] Jun 6 15:25:04 profile-manager.example.com pppd[10677]: CHAP peer authentication failed for alex Jun 6 15:25:04 profile-manager.example.com pppd[10677]: Connection terminated. Jun 6 15:25:04 profile-manager.example.com pppd[10677]: L2TP disconnecting... Jun 6 15:25:04 profile-manager.example.com pppd[10677]: L2TP disconnected Jun 6 15:25:04 profile-manager.example.com vpnd[10317]: --> Client with address = 192.168.55.217 has hung up

答案1

CHAP 要求身份验证服务器能够访问明文密码。Active Directory 默认不存储明文密码,因此 CHAP 不起作用。

似乎你可以修改VPN 服务器配置文件com.apple.RemoteAccessServers.plist)使用 MS-CHAPv2 身份验证协议。鉴于协议的弱点我真的不建议使用它。你唯一的选择是使用 RSA 令牌或 Kerberos 的 EAP。由于你已经有一个 Active Directory 环境,我认为将你的 OS X VPN 服务器加入域并尝试使用 Kerberos 可能是你最好的选择。(话虽如此,但我对此几乎没有经验,无法给你任何分步指导。)

相关内容