VPN SSL con Ldap

[coroneitor]

Gabriel:

Cambiamos el SO de un firewall hace unos meses por el MR3 Patch5, y no puedo hacer funcionar correctamente la VPN ssl con el logueo por Ldap, en si funciona, pero solo la politica de VPN que este en primer lugar, las que siguen no las toma a menos que sean usuarios locales, por lo que vemos en el log del Ldap siempre le termina preguntando al mismo gurpo de VPN (que es el que pongas en primer lugar).

La confugiracion que realize es la siguiente:

-Habilite la funcion VPN ssl, con dns y rangos para los diferentes tuneles (no todas usan tunel)
-Cree los portales, algunos con tuneles otros no y asigne a los que necesitaban el rango de red
-Cree los diferentes grupos de usuarios

- Escribi lo siguiente por CIi para que el FW tenga acceso al Ldap
edit "Generic_Ldap_Conf"
set server "192.27.160.33"
set cnid "uid"
set dn "dc=dacs,dc=com,dc=ar"
set type regular
set username "cn=admin"
set password ENC Gtehgf787FD
set group-member-check group-object
set group-object-filter "(&(objectclass=groupofuniquenames)(uniqueMember=*))"
next
end

-Creo los diferentes grupos de usuarios donde le asigno el portal y el Remote Server "Generic_Ldap_Conf" y especifico el Group Name de la siguiente forma
cn=VPN_1,ou=VPN,ou=Grupos,dc=dacs,dc=com,dc=ar

Y luego arme las politicas de wan a internal de forma standar

De Wan
"All"
A Internal "Server1"
Action sslvpn
asigno grupo de vpn


El tema es que solo toma el primer grupo que ponga, lo toma bien y deja loguear a los usuarios habilitados correctamente, el tema es que cuando armo la siguiente politica con otra autenticacion de usuarios (osea otro grupo de VPN) vemos que nunca llegua a preguntarle al Ldap, siempre le pregunta a la primer politica, si las muevo de lugar, osea la segunda la pongo primera si anda, pero la que queda como segunda no..

Bueno espero que se entienda
Gracias
Marcos

Tenes idea que puede ser?, me lei todos los doc y no encontre nada

[gabyrossi]

hola, yo creo que hay un tema de configura de grupos ldap. ...


revisa los usuariuos que probar de cada grupo por cli a ver si te autentica.

diagnose test authserver ldap nombreldap pepe password

nombreldap = sera el nombre que le psusiste al ldap
pepe= tu usuario de un grupo
password= clave de ese usuario

Pregunta: si en la segunda politica pones un grupo de usuarios locale,s funcioana?¿
saludos

[coroneitor]

hola, yo creo que hay un tema de configura de grupos ldap. ...


revisa los usuariuos que probar de cada grupo por cli a ver si te autentica.

diagnose test authserver ldap nombreldap pepe password

nombreldap = sera el nombre que le psusiste al ldap
pepe= tu usuario de un grupo
password= clave de ese usuario

Pregunta: si en la segunda politica pones un grupo de usuarios locale,s funcioana?¿
saludos

Gabriel, gracias por la respuesta pero no entendi bien que es lo que deberia probar

Si pongo una segunda politica con usuarios locales SI funciona
Con usuarios ldap no, solo la que este primera

[gabyrossi]

revisa los usuariuos que probar de cada grupo por cli a ver si te autentica.

diagnose test authserver ldap nombreldap pepe password

nombreldap = sera el nombre que le psusiste al ldap
pepe= tu usuario de un grupo
password= clave de ese usuario

revisa esos comandos, con el usuario y password que pongas en el 2do grupo.

saludos

[coroneitor]

hola, yo creo que hay un tema de configura de grupos ldap. ...


revisa los usuariuos que probar de cada grupo por cli a ver si te autentica.

diagnose test authserver ldap nombreldap pepe password

nombreldap = sera el nombre que le psusiste al ldap
pepe= tu usuario de un grupo
password= clave de ese usuario

Pregunta: si en la segunda politica pones un grupo de usuarios locale,s funcioana?¿
saludos

Ahi probe lo que me dijiste, si me autentica los usuarios que probe

[gabyrossi]

hola, y el usuario no estara en los 2 grupos?

[coroneitor]

hola, y el usuario no estara en los 2 grupos?

no, eso seguro que no, es como si el firewall no dejara pasar a la segunda politica si no machea con la primara (solo en usuarios ldap)

[gabyrossi]

Hola, no deberia pasar eso..
o es un tema de usuario que esta en los 2 grupos.
o hay algo raro en los grupos creados en el fortigate
podrias hacer un print de pantalla?
y lo mismo con el ldap¿


saludos

[coroneitor]

Hola, no deberia pasar eso..
o es un tema de usuario que esta en los 2 grupos.
o hay algo raro en los grupos creados en el fortigate
podrias hacer un print de pantalla?
y lo mismo con el ldap¿

saludos

Si seguro, de que queres el print? de la config del Ldap en el firewall y de las politicas?
Gracias por tu tiempo

[gabyrossi]

ldap del forti y de los grupos que autenticas.

[coroneitor]

ldap del forti y de los grupos que autenticas.

La config del ldap es:

edit "Generic_Ldap_Conf"
set server "192.27.160.33"
set cnid "uid"
set dn "dc=dacs,dc=com,dc=ar"
set type regular
set username "cn=admin"
set password ENC Gtehgf787FD
set group-member-check group-object
set group-object-filter "(&(objectclass=groupofuniquenames)(uniqueMember=*))"
next
end

Los usuarios son estos




Lo que no se ve que dice en grupe name especify es:

cn=VPN_LACTEOS,ou=VPN,ou=Grupos,dc=dacs,dc=com,dc=ar


Los otros son iguales solo le cambio el nombre al grupo, el portal y CN= donde pongo otro grupo de ldap de VPN


Te reitero que los portales y las vpn en si andan perfectas con usuarios locales.

Gracias
Marcos

[gabyrossi]

Hola, que tipo de ldap tenes?

[coroneitor]

Hola, que tipo de ldap tenes?

El ldap es un fedora directory server

[coroneitor]

Alguna Idea?
sino tengo que poner la version 4 mr1 que funciona