Tema: Re: Fortigate ir Active Directory grupės
Autorius: For example John Smith
Data: 2021-02-02 16:05:41
Bandžiau visus ir pilną ir paprastą.
Namie pasijungus kitą fortigate, ryšis stabilus kaip kadaise buvo 
dolerio kursas.
Panašu iš logų, kad klientas pameta paketus, tik kodėl neaišku.

2021-02-02 15:54, xc rašė:
> Forticlient (pilnas) ar Forticlient VPN (paprastas) klientas? Nes su 
> pastaruoju specialiai patikrinau - ~1 GB failas tiek per ftp, tiek per 
> RDP pervažiavo ipsec tunelį be problemų.
>
> On 2/2/2021 14:54, For example John Smith wrote:
>> Valio!
>>
>> Prisiminiau kitą bėdą su fortigate , forticlient (bet kokia versija) 
>> ir ipsec konfigu lūžta siunčiant/gaunant daugiau kaip 100MB failą. 
>> Niekaip nepavyko išspręsti net su pagalbos šauksmu į fortigate.
>>
>> Kažkaip keista, negi visi tik ssl'ą naudoja.
>>
>> 2021-02-02 12:51, Lapinas rašė:
>>> AČIŪ!
>>>
>>> Aš LDAP serveryje rodžiau į CN=grupė,
>>> kai padariau kaip tu: LDAP serveris rodo į OU, o user group rodo į 
>>> CN, tada viskas veikia.
>>>
>>> Ačiū.
>>>
>>> "For example John Smith" <For.example.John.Smith@mailinator.com> 
>>> wrote in message news:rv6mdf$vkn$1@news.omnitel.net...
>>>> Ldap aprašymas vienas visiems (priedas fg_ldap), toliau grupes reikia
>>>> kurti (priedas ldap-grupe).
>>>>
>>>> On 2021-01-31 12:28, Lapinas wrote:
>>>>> Blyn.
>>>>>
>>>>> O kaip aprašyta LDAP serveris ant FG, kuris rodo į tą OU, kuriame yra
>>>>> grupė, o nėra userio?
>>>>>
>>>>> Jei nenori\negali čia, tai mailas tikras.
>>>>>
>>>>> "For example John Smith" <For.example.John.Smith@mailinator.com> 
>>>>> wrote
>>>>> in message news:rv4hmm$cqa$1@news.omnitel.net...
>>>>>> Tikrai veikia. Tam naujam testiniam useriui buvau palikęs Domain 
>>>>>> Users
>>>>>> grupę. Iš jos išmečiau, palikau tik toj specifinėj grupėj, o patį
>>>>>> userį nukėliau į visai kitą OU, gegu padėta specifinė grupė.
>>>>>> Veikia, prisijungiau.
>>>>>>
>>>>>> On 2021-01-30 16:05, For example John Smith wrote:
>>>>>>> Tikrai veikia,susikūriau testinį userį ir ką tik prisijungiau.
>>>>>>> Iki šiol visi useriai ir ta grupė buvo tame pačiame OU.
>>>>>>> Testinį naują userį ką tik susikuriau visai kitame OU.
>>>>>>> Gal naudoji secure LDAP? Su kažkuria firmwaro versija buvo bėdų.
>>>>>>> FG 100F, FortiOS v6.4.4 build5540 (GA)
>>>>>>>
>>>>>>> On 2021-01-30 07:58, Lapinas wrote:
>>>>>>>> Useris, kuris jungiasi prie LDAP yra domain adminas.
>>>>>>>>
>>>>>>>> FG sukonfigūruotas skaityti Group1, tai grupei ir priklauso user1,
>>>>>>>> iki Nested groups dar nedaėjom.
>>>>>>>>
>>>>>>>> OU viduje yra tik grupė, kuriai priklauso user1, user1 yra 
>>>>>>>> kitame OU.
>>>>>>>>
>>>>>>>> "benamis" <ask@mail.lt> wrote in message
>>>>>>>> news:rv1lid$u2t$1@news.omnitel.net...
>>>>>>>>> tokiu atveju vartotojas, kuris naudojamas uzklausai i DC turi
>>>>>>>>> tureti atitinkamas teises. Kartais prireikia net ir write teisiu,
>>>>>>>>> kai pvz slaptazodis baige galioti ir tiesiai tame SSL VPN gali
>>>>>>>>> pasikeisti. Kokias teises tas vartotojas turi?
>>>>>>>>>
>>>>>>>>>
>>>>>>>>> Kaip suprantu FG sukonfiguruotas ieskoti ou=group1
>>>>>>>>>
>>>>>>>>> user1 priklauso group2
>>>>>>>>>
>>>>>>>>> Veikia jeigu user1 imeti i group1, bet neveikia kai i group1 
>>>>>>>>> imeti
>>>>>>>>> group2?
>>>>>>>>>
>>>>>>>>>
>>>>>>>>>
>>>>>>>>> On 29.01.21 18:37, Lapinas wrote:
>>>>>>>>>> "Bronco" <TRINTI_bronco.mail@gmail.com> wrote in message
>>>>>>>>>> news:rv1g6p$nhj$1@news.omnitel.net...
>>>>>>>>>>> On 2021-01-29 18:57, Lapinas wrote:
>>>>>>>>>>>> Yra "LDAP server" fortigeite, kuris rodo į OU. Tame OU yra tik
>>>>>>>>>>>> vienas objektas: grupė (pavadinkim ją VPNgroup).
>>>>>>>>>>>> Vartotojas, esantis grupėje VPNgroup, bando prisijungti 
>>>>>>>>>>>> prie VPN.
>>>>>>>>>>>> Fortigate perduoda LDAP užklausoje user į tą OU, ir gauna
>>>>>>>>>>>> atsakymą, kad tiesiog tokio user nėra nors jis yra grupėje 
>>>>>>>>>>>> tame OU.
>>>>>>>>>>>
>>>>>>>>>>>
>>>>>>>>>>> O fortis prie User Definitions turi tą juserį ir jis 
>>>>>>>>>>> enablintas?
>>>>>>>>>>> Mintis tokia, jog gal kas sutriko ar nepadaryta iki galo ir
>>>>>>>>>>> neveikia automatinis User Definition importas iš AD. Pakaktų 
>>>>>>>>>>> tuos
>>>>>>>>>>> juserius apsirašyti forti ir imtų veikt. Aišku, čia 
>>>>>>>>>>> workaroundas,
>>>>>>>>>>> bet kai reik greit...
>>>>>>>>>>>
>>>>>>>>>>> Su panašia problema buvau susidūręs, bet ten juserių
>>>>>>>>>>> autentikacija ėjo per Radius.
>>>>>>>>>>
>>>>>>>>>> Greit nereik, reikia kad veiktų.
>>>>>>>>>> Dabar nelįsiu į FG, bet esmė, kad nėra jokio juzerių importo 
>>>>>>>>>> į FG.
>>>>>>>>>> Tiesiog SSL VPN iškiša autentikaciją, vartotojas suveda 
>>>>>>>>>> user\pass,
>>>>>>>>>> su tą info FG persiunčia LDAP užklausą į DC, turi gauti atsakymą
>>>>>>>>>> ar juzeris egzistuoja ir pasvordas - teisingas.
>>>>>>>>>>
>>>>>>>>>>
>>>>>>>>>>
>>>>>>>
>>>>>>
>>>>
>>>>
>>
>