Valio! Prisiminiau kitą bėdą su fortigate , forticlient (bet kokia versija) ir ipsec konfigu lūžta siunčiant/gaunant daugiau kaip 100MB failą. Niekaip nepavyko išspręsti net su pagalbos šauksmu į fortigate. Kažkaip keista, negi visi tik ssl'ą naudoja. 2021-02-02 12:51, Lapinas rašė: > AČIŪ! > > Aš LDAP serveryje rodžiau į CN=grupė, > kai padariau kaip tu: LDAP serveris rodo į OU, o user group rodo į CN, > tada viskas veikia. > > Ačiū. > > "For example John Smith" <For.example.John.Smith@mailinator.com> wrote > in message news:rv6mdf$vkn$1@news.omnitel.net... >> Ldap aprašymas vienas visiems (priedas fg_ldap), toliau grupes reikia >> kurti (priedas ldap-grupe). >> >> On 2021-01-31 12:28, Lapinas wrote: >>> Blyn. >>> >>> O kaip aprašyta LDAP serveris ant FG, kuris rodo į tą OU, kuriame yra >>> grupė, o nėra userio? >>> >>> Jei nenori\negali čia, tai mailas tikras. >>> >>> "For example John Smith" <For.example.John.Smith@mailinator.com> wrote >>> in message news:rv4hmm$cqa$1@news.omnitel.net... >>>> Tikrai veikia. Tam naujam testiniam useriui buvau palikęs Domain Users >>>> grupę. Iš jos išmečiau, palikau tik toj specifinėj grupėj, o patį >>>> userį nukėliau į visai kitą OU, gegu padėta specifinė grupė. >>>> Veikia, prisijungiau. >>>> >>>> On 2021-01-30 16:05, For example John Smith wrote: >>>>> Tikrai veikia,susikūriau testinį userį ir ką tik prisijungiau. >>>>> Iki šiol visi useriai ir ta grupė buvo tame pačiame OU. >>>>> Testinį naują userį ką tik susikuriau visai kitame OU. >>>>> Gal naudoji secure LDAP? Su kažkuria firmwaro versija buvo bėdų. >>>>> FG 100F, FortiOS v6.4.4 build5540 (GA) >>>>> >>>>> On 2021-01-30 07:58, Lapinas wrote: >>>>>> Useris, kuris jungiasi prie LDAP yra domain adminas. >>>>>> >>>>>> FG sukonfigūruotas skaityti Group1, tai grupei ir priklauso user1, >>>>>> iki Nested groups dar nedaėjom. >>>>>> >>>>>> OU viduje yra tik grupė, kuriai priklauso user1, user1 yra kitame >>>>>> OU. >>>>>> >>>>>> "benamis" <ask@mail.lt> wrote in message >>>>>> news:rv1lid$u2t$1@news.omnitel.net... >>>>>>> tokiu atveju vartotojas, kuris naudojamas uzklausai i DC turi >>>>>>> tureti atitinkamas teises. Kartais prireikia net ir write teisiu, >>>>>>> kai pvz slaptazodis baige galioti ir tiesiai tame SSL VPN gali >>>>>>> pasikeisti. Kokias teises tas vartotojas turi? >>>>>>> >>>>>>> >>>>>>> Kaip suprantu FG sukonfiguruotas ieskoti ou=group1 >>>>>>> >>>>>>> user1 priklauso group2 >>>>>>> >>>>>>> Veikia jeigu user1 imeti i group1, bet neveikia kai i group1 imeti >>>>>>> group2? >>>>>>> >>>>>>> >>>>>>> >>>>>>> On 29.01.21 18:37, Lapinas wrote: >>>>>>>> "Bronco" <TRINTI_bronco.mail@gmail.com> wrote in message >>>>>>>> news:rv1g6p$nhj$1@news.omnitel.net... >>>>>>>>> On 2021-01-29 18:57, Lapinas wrote: >>>>>>>>>> Yra "LDAP server" fortigeite, kuris rodo į OU. Tame OU yra tik >>>>>>>>>> vienas objektas: grupė (pavadinkim ją VPNgroup). >>>>>>>>>> Vartotojas, esantis grupėje VPNgroup, bando prisijungti prie >>>>>>>>>> VPN. >>>>>>>>>> Fortigate perduoda LDAP užklausoje user į tą OU, ir gauna >>>>>>>>>> atsakymą, kad tiesiog tokio user nėra nors jis yra grupėje >>>>>>>>>> tame OU. >>>>>>>>> >>>>>>>>> >>>>>>>>> O fortis prie User Definitions turi tą juserį ir jis enablintas? >>>>>>>>> Mintis tokia, jog gal kas sutriko ar nepadaryta iki galo ir >>>>>>>>> neveikia automatinis User Definition importas iš AD. Pakaktų tuos >>>>>>>>> juserius apsirašyti forti ir imtų veikt. Aišku, čia workaroundas, >>>>>>>>> bet kai reik greit... >>>>>>>>> >>>>>>>>> Su panašia problema buvau susidūręs, bet ten juserių >>>>>>>>> autentikacija ėjo per Radius. >>>>>>>> >>>>>>>> Greit nereik, reikia kad veiktų. >>>>>>>> Dabar nelįsiu į FG, bet esmė, kad nėra jokio juzerių importo į FG. >>>>>>>> Tiesiog SSL VPN iškiša autentikaciją, vartotojas suveda user\pass, >>>>>>>> su tą info FG persiunčia LDAP užklausą į DC, turi gauti atsakymą >>>>>>>> ar juzeris egzistuoja ir pasvordas - teisingas. >>>>>>>> >>>>>>>> >>>>>>>> >>>>> >>>> >> >>