Авторизация клиентов L2TP (с микротика) на SMB шаре на контроллере домена?

Question

[paqquete]

Есть контроллер домена и отдельная машина под файловую шару, на обоих по SMB раздаются некие ресурсы.
Главный роутер Mikrotik, к нему подключаются по L2TP удалённые сотрудники.
Вопрос - как сделать автоматическую авторизацию пользователей домена, которые из дома подключились по L2TP и идут на сетевую шару? У всех таких клиентов Win10 постоянно (после перезагрузок, у кого-то просто по 10 раз за раб. день) отваливается smb авторизация и просит авторизоваться опять (причем win10 предлагает по дефолту авторизоваться с именем L2TP (оно отличается, потому что имена юзеров домена - это кириллица)).
Для этой цели подойдет поднятый RADIUS на Микротике?

Вот что посоветовала ChatGPT

(Me) i can't install this role, because my L2TP clients connects to mikrotik router, and i wanna to mappig l2tp users on mikrotik with domain users (from domain controller)

(ChatGPT) If your L2TP clients are connecting to a MikroTik router, you can map the L2TP users on the MikroTik router to domain users on a domain controller as follows:

Connect to the MikroTik router: You can do this using the MikroTik RouterOS web interface or a terminal client such as WinBox.

Create L2TP users: You can create L2TP users on the MikroTik router by going to "PPP" > "Users." You'll need to specify a username and password for each L2TP user.

Configure the L2TP server: You can configure the L2TP server on the MikroTik router by going to "PPP" > "L2TP Server." You'll need to specify the L2TP server's IP address and other settings.

Create a RADIUS server: You'll need to create a RADIUS server on the MikroTik router to authenticate the L2TP users using their domain user names and passwords. You can do this by going to "System" > "RADIUS."

Configure the RADIUS server: You'll need to configure the RADIUS server to use the domain controller as an authentication server. You'll need to specify the IP address and secret of the domain controller and configure the RADIUS server to use PAP (Password Authentication Protocol) or CHAP (Challenge Handshake Authentication Protocol).

Map L2TP users to domain users: You'll need to map the L2TP users to domain users by specifying the domain user names in the L2TP user profiles on the MikroTik router.

By following these steps, you can map L2TP users on the MikroTik router to domain users on a domain controller, allowing you to authenticate the L2TP users using their domain user names and passwords.

кто-то так делал, решает проблему?

Answer 1

[Армянское Радио]

имена юзеров домена - это кириллица

Добро пожаловать на грабли, которые вы сами себе подсунули.

Если юзер у вас входит в домен, вам надо делать авторизацию на SMB через домен, для чего нужно настроить winbind и все остальное.

Авторизация L2TP должна быть вторичной по отношению к домену, в а не первичной. И вот ее как раз через RADIUS можно сделать, как вам рабад насоветовал.

Таким образом, у вас AD авторизует пользователей, через него SMB авторизует пользователей, и из него же microtic по RADIUS авторизует пользователей L2TP

Comments

[paqquete]

спасибо!

Answer 2

[paqquete]

добавлю - попробовали такой вариант, в итоге - RADIUS на микротике не умеет в кириллицу, т.е. "замапить" своих клиентов на юзеров AD у которых логины кириллицей не получилось :)