Re: Fortigate ir Active Directory grupės [For example John Smith @ 2021-01-30 23:05:26]

Tema: Re: Fortigate ir Active Directory grupės
Autorius: For example John Smith
Data: 2021-01-30 23:05:26
Tikrai veikia. Tam naujam testiniam useriui buvau palikęs Domain Users 
grupę. Iš jos išmečiau, palikau tik toj specifinėj grupėj, o patį userį 
nukėliau į visai kitą OU, gegu padėta specifinė grupė.
Veikia, prisijungiau.

On 2021-01-30 16:05, For example John Smith wrote:
> Tikrai veikia,susikūriau testinį userį ir ką tik prisijungiau.
> Iki šiol visi useriai ir ta grupė buvo tame pačiame OU.
> Testinį naują userį ką tik susikuriau visai kitame OU.
> Gal naudoji secure LDAP? Su kažkuria firmwaro versija buvo bėdų.
> FG 100F, FortiOS v6.4.4 build5540 (GA)
> 
> On 2021-01-30 07:58, Lapinas wrote:
>> Useris, kuris jungiasi prie LDAP yra domain adminas.
>>
>> FG sukonfigūruotas skaityti Group1, tai grupei ir priklauso user1,
>> iki Nested groups dar nedaėjom.
>>
>> OU viduje yra tik grupė, kuriai priklauso user1, user1 yra kitame OU.
>>
>> "benamis" <ask@mail.lt> wrote in message 
>> news:rv1lid$u2t$1@news.omnitel.net...
>>> tokiu atveju vartotojas, kuris naudojamas uzklausai i DC turi tureti 
>>> atitinkamas teises. Kartais prireikia net ir write teisiu, kai pvz 
>>> slaptazodis baige galioti ir tiesiai tame SSL VPN gali pasikeisti. 
>>> Kokias teises tas vartotojas turi?
>>>
>>>
>>> Kaip suprantu FG sukonfiguruotas ieskoti ou=group1
>>>
>>> user1 priklauso group2
>>>
>>> Veikia jeigu user1 imeti i group1, bet neveikia kai i group1 imeti 
>>> group2?
>>>
>>>
>>>
>>> On 29.01.21 18:37, Lapinas wrote:
>>>> "Bronco" <TRINTI_bronco.mail@gmail.com> wrote in message 
>>>> news:rv1g6p$nhj$1@news.omnitel.net...
>>>>> On 2021-01-29 18:57, Lapinas wrote:
>>>>>> Yra "LDAP server" fortigeite, kuris rodo į OU. Tame OU yra tik 
>>>>>> vienas objektas: grupė (pavadinkim ją VPNgroup).
>>>>>> Vartotojas, esantis grupėje VPNgroup, bando prisijungti prie VPN.
>>>>>> Fortigate perduoda LDAP užklausoje user į tą OU, ir gauna 
>>>>>> atsakymą, kad tiesiog tokio user nėra nors jis yra grupėje tame OU.
>>>>>
>>>>>
>>>>> O fortis prie User Definitions turi tą juserį ir jis enablintas? 
>>>>> Mintis tokia, jog gal kas sutriko ar nepadaryta iki galo ir 
>>>>> neveikia automatinis User Definition importas iš AD. Pakaktų tuos 
>>>>> juserius apsirašyti forti ir imtų veikt. Aišku, čia workaroundas, 
>>>>> bet kai reik greit...
>>>>>
>>>>> Su panašia problema buvau susidūręs, bet ten juserių autentikacija 
>>>>> ėjo per Radius.
>>>>
>>>> Greit nereik, reikia kad veiktų.
>>>> Dabar nelįsiu į FG, bet esmė, kad nėra jokio juzerių importo į FG. 
>>>> Tiesiog SSL VPN iškiša autentikaciją, vartotojas suveda user\pass, 
>>>> su tą info FG persiunčia LDAP užklausą į DC, turi gauti atsakymą ar 
>>>> juzeris egzistuoja ir pasvordas - teisingas.
>>>>
>>>>
>>>>
>