ну собственно у вас пока не доходит до проверки пароля, или не верно указан DN где искать, или как-то не так подсовывается имя юзверя(префикс доменный может 2 раза), ообщем поиграйтесь с параметрами чтобы у вас в логе начало писаться :


Затем уже будем разбираться с полем Password Attribute: userPassword, если вы внимательно читали 308-309 старницы мануала там эта тонкость описана что это и зачем ... - надо править схему АД с добавлением этого параметра или использование какого иного который поможет ппередать passs. Но это потом.

p/s какой тип аутентификации используете ? ( смотреть в User Authentication Rules -> ваше_правило -> закладка PPP Agent Options ).

у вас работает аутентификация? покажите настройки, пожалуйста, чтоб сравнить

стоят галки:
Use CHAP authentication protocol.
Use MS-CHAP authentication protocol.
Use MS-CHAP v2 authentication protocol.

у меня пока нет желания править схему АД =), прочитайте пожалуста страницу 308-309 в мануале там расписаана разница при использовании разных CHAP в LDAP и "обычной" как там написано "normal".
Я просто вчера потратил немного времени после того как увидел ваш пост и поигрался с настройкой l2tp через LDAP. Застопорился я на проверки пароля как раз то поле Pass. перед этим было несколкьо косяков как с непрвильным подключением в лдап базе, затем так же user_auth failed (как у вас сейчас), теперь у меня конечный этап всё проходит до момента пароля, надо править схему АД - что меня не очень тянет...
Хотя если прочесть про "normal" авторизацию там сказано что при использование PAP всё должно работать без правки схемы и использования того параметра Pass.

Итог:
Добейтесь нормальной авторизации юзверя (successfull), затем поставьте PAP (на дфл и на клиенте)..дальше отпишитесь по результам пожалуйста.

при использование PAP у меня доходит на клиенте до регистрации в сети , затем почемуто дропает с ошибкой 734 ( проткол управления PPP был прерван) на дфл как бы в логе все даже нормально, после авторизаци successfull сразу пишется session closed). пока не знаю ...чтото на клиенте чтоли...

Не выходит каменный цветок!!!!! Пожалуйста, покажите настройки, при которых вы добились
2010-04-09 09:09:43 Notice USERAUTH 3700403 ldap_user_authentication_successful user=tt@xx.local

покажите скриншот настройки LDAP (External User Databases ).

p/s непойму толи у меня беда толи нет - вообщем суть такая - если даже перевожу БД юзеров на локальную (которая работает без проблем с MS-chap , MS-chapv2)), и ставлю авторизаци PAP или CHAP. - они просто не работают, клиент отрбуается с ошибкой описанной выше..., вы можете проверить у вас такая же проблема ? ( т.е выставите базу локальную ,но тип аутетентификации PAP или CHAP)....сколько с впн работал такого раньше неприпоминаю...да и чап и пап не юзла никогда раньше...

http://picasaweb.google.ru/106177909943991380454/qeSppG#5458045293241184578

аутентификация через локальную БД у меня работает, при чем и через PPTP, и через L2TP сервера

сделайте нормальную ссылку) ничего невозможно понять в этом маленьком окошке...

я просил проверить локальную с типом авторизации PAP и CHAP.

http://picasaweb.google.ru/106177909943991380454/qeSppG#5458045293241184578

при авторизации через локальную БД стоят галки:
Use CHAP authentication protocol.
Use MS-CHAP authentication protocol.
Use MS-CHAP v2 authentication protocol.

вот уберите пожалуста CHAp и chap v2 и поставьте CHAP и PAP , затем попробуйте подлючится , будет работать ?

поставьте галочку Retrieve Group Membership, у меня без неё в любой ситуации пишет user_auth_failed. Как только ставлю всё проходит , просто я изначально делал DN на группу, потому и галочку ставил сразу, сейчас просто указал OU с юзерами, но галка всеравно почемуто нужна. Пробуйте.

при авторизации через локальную БД работают только следующие комбинации:
1) Use CHAP authentication protocol.
Use MS-CHAP authentication protocol.
2) Use CHAP authentication protocol.
Use MS-CHAP authentication protocol.
Use MS-CHAP v2 authentication protocol.
Пробовал все возможные комбинации, соответственно меняя настройки на клиенте.
Теперь об авторизации через LDAP:
при вот такой настройке LDAP сервера
http://picasaweb.google.ru/106177909943 ... 8644952162
и в правиле аутентификации стоит галка Use PAP authentication protocol, и на клиенте галка только PAP, то в логах ldap_user_authentication_successful, но следующее сообщение session_closed. Из глубокоуважаемой технической поддержки кто-нибудь ответит?

то что PAP не работает - факт на лицо ...ждём помощи техсаппорта, хотя если срочно лучше позвонить им.

p/s если же вам очень срочно надо свзять dfl И AD для VPN - можете воспользоваться авторизацией через Radius оно работает 100%.

что Radius работает знаю, хочется с LDAPом в dfl разобраться.
покурив оочень внимательно ман "B.PPP Authentication with CHAP, MS-CHAPv1 or MS-CHAPv2" на стр. 308, я понял, что Password Attribute необходимо добавить в схему в AD, либо использовать существующий, но не используемый атрибут для каждого пользователя, кот. будет удаленно логиниться. В этом атрибуте админ AD должен хранить пароль в открытом виде, что, во-первых не секурно совершенно (любой прошедший проверку в сети пользователь может смотреть AD), во-вторых при изменении пароля юзверем, пароль в этом атрибуте не сменится автоматически (проще тогда авторизовывать пользователей из локальной базы). Но вот почему не работает авторизация по PAP???? Хоть это не секурно совершенно, но хочется разобраться с темой окончательно.

Из глубокоуважаемой технической поддержки кто-нибудь ответит?