SSL - Problemas con grupo de seguridad en LDAP

[dsalnikov]

Buenas días,

Tengo un Fortigate 60C 4.0 MR2.

La VPN SSL que tengo andando funciona ok, el problema es cuando creo en AD un grupo de seguridad, por ejemplo "SSL VPN Users" le agrego miembros, administrador, pepe, etc. En una de las políticas (la de ACTION: SSL-VPN) elijo una regla donde el grupo Usuarios SSL los tome de "ruta del grupo de seguridad", todo bárbaro, solo que porque autentica exitosamente a algunos usuarios (administradores del dominio).

Pongo Imágenes:





Acá cuando intento loguearme con un usuario común:



Acá pude loguerma con administrador.


Este es el error, No matching policy.


Agradezco si pueden guiarme para solucionar esto, vendrá por el lado del DC o el FSAE?

Gracias!

[gabyrossi]

hola, perdon pero no se ve ninguna imagen.

saludos

[dsalnikov]

Hola, las imágenes se ven, tal vez tú no.
Fijate por los links.

[Debes identificarte para poder ver enlaces.]
[Debes identificarte para poder ver enlaces.]
[Debes identificarte para poder ver enlaces.]
[Debes identificarte para poder ver enlaces.]
[Debes identificarte para poder ver enlaces.]

Avisame.
Gracias!

[gabyrossi]

hola, no se ven!!!

saludos

[dsalnikov]

Disculpa gabyrossi, ya cambie el hosting de medio pelo.
Saludos

[gabyrossi]

holas, el fsae no tiene nada que ver cuando se trata de autentica vpn.

el usuario que interntas loguearte esta dentro del grupo de ldap SSL VPN Users ???????????
podrias mostrar el ldap configurado en el fortigate?


probaste de revisar este comando ?

diagnose test authserver ldap "nombre del ldapcreado" usuario password

[dsalnikov]

Hola, gracias por la respuesta.

Los 2 usuarios de ejemplo estan dentro del grupo "SSL VPN Users", el que loguea y el que no.

Acá esta la configuración del LDAP:



Cuando entro el la carpetita en el campo de Distinguished Name me levanta el árbol del AD ok.

El comando no lo probé, ahora si:

Cuando tiro la consulta con el usuario que NO me loguea, me devuelve que se autenticó OK pero no aparece ninguna pertenencia a ningun grupo.
En el caso del usuario que si autentica, me dice a que grupos pertenece, dentro de ellos "SSL VPN Users".

----------------------------------------------------------------------------------------------------------------------------
authenticate 'usuario1' against 'servidorldap' succeeded!
Este es el que NO autentica en el login.

authenticate 'usuario' against 'servidorldap' succeeded!
memberof - CN=SSL VPN Users,DC=dominio,DC=local
CN=---,CN=Users,DC=dominio,DC=local
CN=--- --- ---,DC=dominio,DC=local
Este es el que sí autentica.

Aguardo tus comentarios.
Saludos, Diego

[gabyrossi]

hola, a ver si un usuario si y otro no y los 2 estan en el grupo que validad la vpn. revisa que tiene ese usuario que no loguea en pparticular. que no se haya bloqueado por intentos fallidos, o algo de eso y que este en el grupo correcto

saludos

[dsalnikov]

Buen día! La pregunta que me hago, porque el primer usuario (como ese usuario me pasa con muchos) cuando tiro el comando me devuelve "succed" pero NO me muestra los grupos? El que me devuelve los grupos a los cuales es miembro es el adm del dominio.
Que permisos o niveles de seguridad estan interfiriendo en la consulta?

Es claro, si desde la consola del forti no sabe cuales son los grupos de x usuario, no puede validarlo... Ahora, como hago para que los vea??? no puedo agregar a adm. a los usuarios esta claro.

Un saludo, Diego

[dsalnikov]

SOLUCIONADO ! ! ! Ya encontré el problemita, el usuario que hace las consultas al servidor ldap lo cree especialmente para ello, le puse de nombre "ldap" y es un usuario común, no me había dado cuenta. Lo agregue al grupo Administradores, ahora las consultas ldap las devuelve enteras y para cualquier usuario, por ende probé loguearme con todos los que no lo hacía y lo logré.

Muchas gracias por tu tiempo!
Un saludo de Uruguay.

[gabyrossi]

barbaro.

suerte