Network Diagram

 

1. ไปที่ Applications >> Active Directory /LDAP. สำหรับเชื่อมต่อ Draytek เข้ากับ AD/LADP

ทำการ Enableและเลือก Bind Type. โดยจะแยกเป็น 3 ประเภทดังนี้

Simple Mode – โดยปกติจะเป็นตัวเลือกเมื่อ User ทั้งหมดอยู่ในโฟลเดอร์ / ระดับเดียวกัน ใน AD / LDAP Server โดย Router จ ะทำการเชื่อมต่อสำหรับ Authentication เท่านั้น แต่จะไม่มีReaching

Anonymous Mode – ทำงานโดยการ ค้นหาด้วย Anonymous Account (บัญชีผู้ใช้แบบไม่ ระบุตัวตน) หลังจากนั้นทำ การ Authentication (โดยปกติโหมดนี้จะไม่ค่อยถูกใช้งาน เพราะ Windows AD Server จะ ปฏิเสธการ Authentication จาก Anonymous Account เป็นค่าดังเดิมอยู่แล้ว)

Regular Mode – เป็นตัวเลือกเมื่อ มี User อยู่ในโฟลเดอร์ย่อยต่า ง ๆ (Sub Folder) ส่วน ใหญ่จะเหมือนกันกับโหมด Anonymous แต่เซิร์ฟเวอร์จะตรวจสอบสิทธิ์ในการค้นหา ด้วย Regular DN และ Regular Password authentication หรือไม่ ในโหมดนี้Router จะส่ง Bind Request กับ Regular DN และ Regular Password ไปยังเซิร์ฟเวอร์ LDAP / AD เมื่อผ่านการตรวจสอบความถูกต้อง Router จะทำการค้นหาจากนั้นเซิร์ฟเวอร์ LDAP และจะ ค้นหา DN ของผู้ใช้ที่แน่นอนในโฟลเดอร์ย่อยต่าง ๆ

(ในตัวอย่างนี้เราจะใช้Regular mode โดยเราจะมี LDAP Server มี OU People และ OU RD1, RD2, RD3 ภายใต้ OU People และมี User ภายใต้ OU RD1, RD2, RD3 ที่ได้รับอนุญาตสำหรับ การใช้งาน VPN)

 

 

2. ทำการตั้งค่า Active Directory / LDAP (Regular Mode)

-ทำการ Enable และเลือก Bind Type เป็น Regular Mode (กรอบสีแดง)

-ทำการระบุ IP ของ LDAP / AD Server ที่ Server Address (กรอบสีส้ม)

-ระบุ DN และ Password ที่ส่วนของ Regular DN และ Regular Password กด Ok
จากนั้น Router จะทำการขอรีสตาร์ท (กรอบสีน้ำเงิน)

(หมายเหตุ: หากเซิร์ฟเวอร์ LDAP ที่คุณมีเป็นเซิร์ฟเวอร์ Windows AD ให้ใช้cn = เริ่มต้น DN เสมอดังในภาพด้านล่าง)

 

3. สร้าง Profile LDAP Server ไปที่ Active Directory / LDAP Profile เลือก Index ที่ไม่มีการใช้งาน

 

 

4. ตั้งค่า AD/LDAP Server Profile

-ตั้งชื่อ Profile ที่ Name (กรอบสีแดง)

-ระบุ Common Name Identifier เป็น CN (กรอบสีส้ม)

-โดยในส่วนของ Base Distinguished Name เราสามารถใช้ไอคอนค้นหาเพื่อป้อนข้อมูล
User ได้เลย (กรอบสีชมพู)

(ในตัวอย่างด้างล่าง เราต้องการอนุญาตให้User ที่อยู่ใน OU RD1, RD2 และ RD3 เข้าถึง VPN ได้ดังนั้นเรา จึงเลือก OU People ที่มี OU RD1, RD2 และ RD3 สำ หรับ Base Distinguished Name จากนั้นกด OK)

 

 

5. ทำการตั้งค่า การยืนยันตัวตนสำหรับใช้งาน Remote dial-in โดยใช้ User จาก AD/LDAP ให้ไปที่ VPN and Remote Access >> PPP General Setup


-ทำการเลือก Dial-in PPP Authentication เป็น PAP Only (กรอบสีแดง)

-เลือก AD/LDAP Profile ที่เราสร้างขึ้นมา (กรอบสีส้ม) เปิดใช้งาน AD / LDAP

-เราสามารถเลือกให้ User ที่ VPN เข้าได้จาก IP จาก LAN Subnet ใดที่ (กรอบสีน้ำเงิน)