Tema: Re: Fortigate ir Active Directory grupės
Autorius: For example John Smith
Data: 2021-01-31 18:38:07
Ldap aprašymas vienas visiems (priedas fg_ldap), toliau grupes reikia 
kurti (priedas ldap-grupe).

On 2021-01-31 12:28, Lapinas wrote:
> Blyn.
> 
> O kaip aprašyta LDAP serveris ant FG, kuris rodo į tą OU, kuriame yra 
> grupė, o nėra userio?
> 
> Jei nenori\negali čia, tai mailas tikras.
> 
> "For example John Smith" <For.example.John.Smith@mailinator.com> wrote 
> in message news:rv4hmm$cqa$1@news.omnitel.net...
>> Tikrai veikia. Tam naujam testiniam useriui buvau palikęs Domain Users 
>> grupę. Iš jos išmečiau, palikau tik toj specifinėj grupėj, o patį 
>> userį nukėliau į visai kitą OU, gegu padėta specifinė grupė.
>> Veikia, prisijungiau.
>>
>> On 2021-01-30 16:05, For example John Smith wrote:
>>> Tikrai veikia,susikūriau testinį userį ir ką tik prisijungiau.
>>> Iki šiol visi useriai ir ta grupė buvo tame pačiame OU.
>>> Testinį naują userį ką tik susikuriau visai kitame OU.
>>> Gal naudoji secure LDAP? Su kažkuria firmwaro versija buvo bėdų.
>>> FG 100F, FortiOS v6.4.4 build5540 (GA)
>>>
>>> On 2021-01-30 07:58, Lapinas wrote:
>>>> Useris, kuris jungiasi prie LDAP yra domain adminas.
>>>>
>>>> FG sukonfigūruotas skaityti Group1, tai grupei ir priklauso user1,
>>>> iki Nested groups dar nedaėjom.
>>>>
>>>> OU viduje yra tik grupė, kuriai priklauso user1, user1 yra kitame OU.
>>>>
>>>> "benamis" <ask@mail.lt> wrote in message 
>>>> news:rv1lid$u2t$1@news.omnitel.net...
>>>>> tokiu atveju vartotojas, kuris naudojamas uzklausai i DC turi 
>>>>> tureti atitinkamas teises. Kartais prireikia net ir write teisiu, 
>>>>> kai pvz slaptazodis baige galioti ir tiesiai tame SSL VPN gali 
>>>>> pasikeisti. Kokias teises tas vartotojas turi?
>>>>>
>>>>>
>>>>> Kaip suprantu FG sukonfiguruotas ieskoti ou=group1
>>>>>
>>>>> user1 priklauso group2
>>>>>
>>>>> Veikia jeigu user1 imeti i group1, bet neveikia kai i group1 imeti 
>>>>> group2?
>>>>>
>>>>>
>>>>>
>>>>> On 29.01.21 18:37, Lapinas wrote:
>>>>>> "Bronco" <TRINTI_bronco.mail@gmail.com> wrote in message 
>>>>>> news:rv1g6p$nhj$1@news.omnitel.net...
>>>>>>> On 2021-01-29 18:57, Lapinas wrote:
>>>>>>>> Yra "LDAP server" fortigeite, kuris rodo į OU. Tame OU yra tik 
>>>>>>>> vienas objektas: grupė (pavadinkim ją VPNgroup).
>>>>>>>> Vartotojas, esantis grupėje VPNgroup, bando prisijungti prie VPN.
>>>>>>>> Fortigate perduoda LDAP užklausoje user į tą OU, ir gauna 
>>>>>>>> atsakymą, kad tiesiog tokio user nėra nors jis yra grupėje tame OU.
>>>>>>>
>>>>>>>
>>>>>>> O fortis prie User Definitions turi tą juserį ir jis enablintas? 
>>>>>>> Mintis tokia, jog gal kas sutriko ar nepadaryta iki galo ir 
>>>>>>> neveikia automatinis User Definition importas iš AD. Pakaktų tuos 
>>>>>>> juserius apsirašyti forti ir imtų veikt. Aišku, čia workaroundas, 
>>>>>>> bet kai reik greit...
>>>>>>>
>>>>>>> Su panašia problema buvau susidūręs, bet ten juserių 
>>>>>>> autentikacija ėjo per Radius.
>>>>>>
>>>>>> Greit nereik, reikia kad veiktų.
>>>>>> Dabar nelįsiu į FG, bet esmė, kad nėra jokio juzerių importo į FG. 
>>>>>> Tiesiog SSL VPN iškiša autentikaciją, vartotojas suveda user\pass, 
>>>>>> su tą info FG persiunčia LDAP užklausą į DC, turi gauti atsakymą 
>>>>>> ar juzeris egzistuoja ir pasvordas - teisingas.
>>>>>>
>>>>>>
>>>>>>
>>>
>>