Tema: Re: Fortigate ir Active Directory grupės
Autorius: For example John Smith
Data: 2021-02-02 14:54:41
Valio!

Prisiminiau kitą bėdą su fortigate , forticlient (bet kokia versija) ir 
ipsec konfigu lūžta siunčiant/gaunant daugiau kaip 100MB failą. Niekaip 
nepavyko išspręsti net su pagalbos šauksmu į fortigate.

Kažkaip keista, negi visi tik ssl'ą naudoja.

2021-02-02 12:51, Lapinas rašė:
> AČIŪ!
>
> Aš LDAP serveryje rodžiau į CN=grupė,
> kai padariau kaip tu: LDAP serveris rodo į OU, o user group rodo į CN, 
> tada viskas veikia.
>
> Ačiū.
>
> "For example John Smith" <For.example.John.Smith@mailinator.com> wrote 
> in message news:rv6mdf$vkn$1@news.omnitel.net...
>> Ldap aprašymas vienas visiems (priedas fg_ldap), toliau grupes reikia
>> kurti (priedas ldap-grupe).
>>
>> On 2021-01-31 12:28, Lapinas wrote:
>>> Blyn.
>>>
>>> O kaip aprašyta LDAP serveris ant FG, kuris rodo į tą OU, kuriame yra
>>> grupė, o nėra userio?
>>>
>>> Jei nenori\negali čia, tai mailas tikras.
>>>
>>> "For example John Smith" <For.example.John.Smith@mailinator.com> wrote
>>> in message news:rv4hmm$cqa$1@news.omnitel.net...
>>>> Tikrai veikia. Tam naujam testiniam useriui buvau palikęs Domain Users
>>>> grupę. Iš jos išmečiau, palikau tik toj specifinėj grupėj, o patį
>>>> userį nukėliau į visai kitą OU, gegu padėta specifinė grupė.
>>>> Veikia, prisijungiau.
>>>>
>>>> On 2021-01-30 16:05, For example John Smith wrote:
>>>>> Tikrai veikia,susikūriau testinį userį ir ką tik prisijungiau.
>>>>> Iki šiol visi useriai ir ta grupė buvo tame pačiame OU.
>>>>> Testinį naują userį ką tik susikuriau visai kitame OU.
>>>>> Gal naudoji secure LDAP? Su kažkuria firmwaro versija buvo bėdų.
>>>>> FG 100F, FortiOS v6.4.4 build5540 (GA)
>>>>>
>>>>> On 2021-01-30 07:58, Lapinas wrote:
>>>>>> Useris, kuris jungiasi prie LDAP yra domain adminas.
>>>>>>
>>>>>> FG sukonfigūruotas skaityti Group1, tai grupei ir priklauso user1,
>>>>>> iki Nested groups dar nedaėjom.
>>>>>>
>>>>>> OU viduje yra tik grupė, kuriai priklauso user1, user1 yra kitame 
>>>>>> OU.
>>>>>>
>>>>>> "benamis" <ask@mail.lt> wrote in message
>>>>>> news:rv1lid$u2t$1@news.omnitel.net...
>>>>>>> tokiu atveju vartotojas, kuris naudojamas uzklausai i DC turi
>>>>>>> tureti atitinkamas teises. Kartais prireikia net ir write teisiu,
>>>>>>> kai pvz slaptazodis baige galioti ir tiesiai tame SSL VPN gali
>>>>>>> pasikeisti. Kokias teises tas vartotojas turi?
>>>>>>>
>>>>>>>
>>>>>>> Kaip suprantu FG sukonfiguruotas ieskoti ou=group1
>>>>>>>
>>>>>>> user1 priklauso group2
>>>>>>>
>>>>>>> Veikia jeigu user1 imeti i group1, bet neveikia kai i group1 imeti
>>>>>>> group2?
>>>>>>>
>>>>>>>
>>>>>>>
>>>>>>> On 29.01.21 18:37, Lapinas wrote:
>>>>>>>> "Bronco" <TRINTI_bronco.mail@gmail.com> wrote in message
>>>>>>>> news:rv1g6p$nhj$1@news.omnitel.net...
>>>>>>>>> On 2021-01-29 18:57, Lapinas wrote:
>>>>>>>>>> Yra "LDAP server" fortigeite, kuris rodo į OU. Tame OU yra tik
>>>>>>>>>> vienas objektas: grupė (pavadinkim ją VPNgroup).
>>>>>>>>>> Vartotojas, esantis grupėje VPNgroup, bando prisijungti prie 
>>>>>>>>>> VPN.
>>>>>>>>>> Fortigate perduoda LDAP užklausoje user į tą OU, ir gauna
>>>>>>>>>> atsakymą, kad tiesiog tokio user nėra nors jis yra grupėje 
>>>>>>>>>> tame OU.
>>>>>>>>>
>>>>>>>>>
>>>>>>>>> O fortis prie User Definitions turi tą juserį ir jis enablintas?
>>>>>>>>> Mintis tokia, jog gal kas sutriko ar nepadaryta iki galo ir
>>>>>>>>> neveikia automatinis User Definition importas iš AD. Pakaktų tuos
>>>>>>>>> juserius apsirašyti forti ir imtų veikt. Aišku, čia workaroundas,
>>>>>>>>> bet kai reik greit...
>>>>>>>>>
>>>>>>>>> Su panašia problema buvau susidūręs, bet ten juserių
>>>>>>>>> autentikacija ėjo per Radius.
>>>>>>>>
>>>>>>>> Greit nereik, reikia kad veiktų.
>>>>>>>> Dabar nelįsiu į FG, bet esmė, kad nėra jokio juzerių importo į FG.
>>>>>>>> Tiesiog SSL VPN iškiša autentikaciją, vartotojas suveda user\pass,
>>>>>>>> su tą info FG persiunčia LDAP užklausą į DC, turi gauti atsakymą
>>>>>>>> ar juzeris egzistuoja ir pasvordas - teisingas.
>>>>>>>>
>>>>>>>>
>>>>>>>>
>>>>>
>>>>
>>
>>