Содержание
Настройка правила VPN на основе аутентификации Google LDAP
Введение
Функция Google LDAP в серии шлюзов Omada работает как LDAP-клиент. Она используется в основном для двух целей:
- Портальная аутентификация в автономном режиме
- VPN-аутентификация в автономном режиме, включая аутентификацию для OpenVPN, L2TP VPN и PPTP VPN. В режиме контроллера эту функцию поддерживает только OpenVPN.
Требования
- Программный/аппаратный контроллер Omada или Omada Central
- Шлюз Omada
- Сервер Google LDAP (платный LDAP-сервер Google)
Настройка
Настройка профиля Google LDAP
Шаг 1. В контроллере перейдите в раздел Настройки > Сетевой профиль > Профиль LDAP и нажмите Создать новый профиль LDAP.


Шаг 2. Выберите Тип привязки и настройте профиль соответствующим образом.

Доступны два типа привязки:
Простой режим (Simple Mode): LDAP-клиенты отправляют только запросы на привязку без учётной записи администратора, пароля или разрешения на поисковый запрос. Этот режим в основном используется в сценариях, где учётные записи аутентификации принадлежат одному узлу каталога LDAP.
Обычный режим (Regular Mode): LDAP-клиенты могут отправлять запросы на привязку и поисковые запросы с учётной записью и паролем администратора. Этот режим используется в сценариях, где учётные записи аутентификации принадлежат одному или разным узлам каталога LDAP.

В простом режиме необходимо заполнить следующие параметры:
- Адрес сервера: URL-адрес сервера Google LDAP, фиксированный — ldap.google.com.
- Порт назначения: Идентификатор порта LDAP-сервера, по умолчанию установлен 636.
- Идентификатор общего имени: Обычно uid, должен соответствовать конфигурации пользователя на сервере Google LDAP.
- Базовое отличительное имя: Верхний узел каталога на LDAP-сервере, в котором находятся аутентифицируемые пользователи. Вы можете нажать кнопку поиска справа, чтобы просмотреть структуру каталога и выбрать любой узел.
- Сертификат Google: Сервер Google LDAP автоматически генерирует сертификат.
Путь загрузки сертификата:
- Войдите в консоль администратора Google.
- Перейдите в раздел Приложения > LDAP.
- Выберите клиента.
- Нажмите на карточку Аутентификация.
- Нажмите СОЗДАТЬ НОВЫЕ СЕРТИФИКАТЫ.
- Загрузите сертификат из окна «Сертификаты».
- Загрузите .zip-файл в поле Сертификат Google.

В обычном режиме поддерживаются следующие дополнительные параметры:
- Учётная запись: Учётные данные для сервера Google LDAP (уникальны для обычного режима).
- Пароль: Учётные данные для сервера Google LDAP (уникальны для обычного режима).
Как получить учётную запись/пароль:
- Войдите в консоль администратора Google.
- Перейдите в раздел Приложения > LDAP.
- Выберите клиента.
- Нажмите на карточку Аутентификация.
- Нажмите СОЗДАТЬ НОВЫЕ УЧЁТНЫЕ ДАННЫЕ. Затем вы можете просмотреть пароль в окне Учётные данные доступа.
- Дополнительный фильтр: (только в обычном режиме) — дополнительный фильтр; при его заполнении учётная запись должна соответствовать значению фильтра для прохождения аутентификации.
Настройка правила VPN на основе аутентификации Google LDAP
Шаг 1. Перейдите на страницу управления контроллером: Настройки -> VPN -> VPN.


Нажмите кнопку Создать новую политику VPN, чтобы перейти на страницу настройки.

Для OpenVPN на основе аутентификации Google LDAP выберите VPN Клиент-Узел > VPN-сервер > OpenVPN.
Включите режим Учётная запись/Пароль, выберите ранее созданный профиль Google LDAP и настройте другие параметры в соответствии с руководством по настройке VPN.
Заключение
В этой статье описаны шаги по настройке профиля Google LDAP на устройствах серии Omada Gateway и его применению для VPN-аутентификации.
Чтобы узнать больше о каждой функции и настройке, перейдите в Центр загрузок и скачайте руководство для вашего продукта.
Вопросы и ответы
В1. Почему я не могу подключиться к LDAP-серверу при настройке профиля LDAP?
О1. Убедитесь, что параметры вашего LDAP-сервера настроены правильно. Вы можете проверить их с помощью обычного LDAP-клиентского инструмента с теми же настройками.