Re: Fortigate ir Active Directory grupės [For example John Smith @ 2021-01-30 16:05:30]

Tema: Re: Fortigate ir Active Directory grupės
Autorius: For example John Smith
Data: 2021-01-30 16:05:30
Tikrai veikia,susikūriau testinį userį ir ką tik prisijungiau.
Iki šiol visi useriai ir ta grupė buvo tame pačiame OU.
Testinį naują userį ką tik susikuriau visai kitame OU.
Gal naudoji secure LDAP? Su kažkuria firmwaro versija buvo bėdų.
FG 100F, FortiOS v6.4.4 build5540 (GA)

On 2021-01-30 07:58, Lapinas wrote:
> Useris, kuris jungiasi prie LDAP yra domain adminas.
> 
> FG sukonfigūruotas skaityti Group1, tai grupei ir priklauso user1,
> iki Nested groups dar nedaėjom.
> 
> OU viduje yra tik grupė, kuriai priklauso user1, user1 yra kitame OU.
> 
> "benamis" <ask@mail.lt> wrote in message 
> news:rv1lid$u2t$1@news.omnitel.net...
>> tokiu atveju vartotojas, kuris naudojamas uzklausai i DC turi tureti 
>> atitinkamas teises. Kartais prireikia net ir write teisiu, kai pvz 
>> slaptazodis baige galioti ir tiesiai tame SSL VPN gali pasikeisti. 
>> Kokias teises tas vartotojas turi?
>>
>>
>> Kaip suprantu FG sukonfiguruotas ieskoti ou=group1
>>
>> user1 priklauso group2
>>
>> Veikia jeigu user1 imeti i group1, bet neveikia kai i group1 imeti 
>> group2?
>>
>>
>>
>> On 29.01.21 18:37, Lapinas wrote:
>>> "Bronco" <TRINTI_bronco.mail@gmail.com> wrote in message 
>>> news:rv1g6p$nhj$1@news.omnitel.net...
>>>> On 2021-01-29 18:57, Lapinas wrote:
>>>>> Yra "LDAP server" fortigeite, kuris rodo į OU. Tame OU yra tik 
>>>>> vienas objektas: grupė (pavadinkim ją VPNgroup).
>>>>> Vartotojas, esantis grupėje VPNgroup, bando prisijungti prie VPN.
>>>>> Fortigate perduoda LDAP užklausoje user į tą OU, ir gauna atsakymą, 
>>>>> kad tiesiog tokio user nėra nors jis yra grupėje tame OU.
>>>>
>>>>
>>>> O fortis prie User Definitions turi tą juserį ir jis enablintas? 
>>>> Mintis tokia, jog gal kas sutriko ar nepadaryta iki galo ir neveikia 
>>>> automatinis User Definition importas iš AD. Pakaktų tuos juserius 
>>>> apsirašyti forti ir imtų veikt. Aišku, čia workaroundas, bet kai 
>>>> reik greit...
>>>>
>>>> Su panašia problema buvau susidūręs, bet ten juserių autentikacija 
>>>> ėjo per Radius.
>>>
>>> Greit nereik, reikia kad veiktų.
>>> Dabar nelįsiu į FG, bet esmė, kad nėra jokio juzerių importo į FG. 
>>> Tiesiog SSL VPN iškiša autentikaciją, vartotojas suveda user\pass, su 
>>> tą info FG persiunčia LDAP užklausą į DC, turi gauti atsakymą ar 
>>> juzeris egzistuoja ir pasvordas - teisingas.
>>>
>>>
>>>