Acceso a IP Pública con Login de Grupo de ActiveDirectory

[avenger]

Buenas Tardes estoy configurando una politica en el Firewall (Fortigate1000A) de mi trabajo, donde permita el acceso a una ip publica perteneciente a la empresa en la que trabajo.
El problema es que quiero que sea accesado a traves de AD (Windows Server 2008) ya cree la OU llamada UsuariosOWA en donde internamente tiene un "CN" grupo llamado grp-usr-exchange-owa en ese grupo estan los usuarios que necesito que ingresen a esa ip desde su casa, el problema viene que al momento de configurar en "Users > Remote > LDAP" a pesar de que me acepta la configuración sin problemas, cuando trato de loguearme desde un internet externo, nunca me acepta el password de algunos de los usuarios que estan en dicho grupo.

La información del LDAP configurado quedo asi al hacer query.

LDAP Distinguished Name Query
LDAP Server: ip-ldap:port

Name
CN=grp-exchange-owa
Distinguished Name: OU=UsuariosOWA,DC=bbu,DC=com

Nota: Al mover los usuarios a la OU "UsuariosOWA" sin meterlos al subgrupo CN "grp-usr-exchange-owa" si acepta login y password. Pero no puedo hacer la política de esta manera ya que al mover los usuarios ciertas reglas y políticas se dejarían de aplicar en sus PC de la oficina (todos los usuarios los tengo divididos en OU correspondientes a su Gerencia o Dpto y debo conservarlo así), lo cual no quiero.

Si alguien puede ayudarme en esto se lo agradecería mucho.

Gracias a los que puedan ayudarme.

Saludos.

[gabyrossi]

hola, no queda muy claro ya que no sabemos como dejaste armado en remote -> ldap.

y luego cual es el grupo que debe autenticarse.

saludos

[avenger]

hola, no queda muy claro ya que no sabemos como dejaste armado en remote -> ldap.

y luego cual es el grupo que debe autenticarse.

saludos

En remote quedo de la siguiente manera...

NAME: Nombre descriptivo
Server Name/IP: ip de mi servidor de AD
Server Port: 389
common name identifier: sAMAccountName
distinguished Name: OU=UsuariosOWA,DC=bbu,DC=com
Bind Type: Regular
User DN: CN=usuarioadmin,OU=Users,DC=bicentenariobu,DC=com
Password: El pass del admin de dominio

Sin secure connection

Mi duda viene dada, ya que, a pesar de que hago el query y me muestra correctamente el grupo que internamente esta creado en esa OU "grp-usr-exchange-owa"

Cuando hago login en la ip publica no me acepta ningún pass de ningún usuario que esta dentro del grupo grp-usr-exchange-owa.


Saludos, esa es la duda.

[gabyrossi]

HOLA,

NAME: Nombre descriptivo
Server Name/IP: ip de mi servidor de AD
Server Port: 389
common name identifier: sAMAccountName
distinguished Name: OU=UsuariosOWA,DC=bbu,DC=com <---------- son diferentes dominios? bbu <->bicentenariobu
Bind Type: Regular
User DN: CN=usuarioadmin,OU=Users,DC=bicentenariobu,DC=com <----------
Password: El pass del admin de dominio


en distinguished Name: podrias dejar solo DC=DONINIO,DC=com
y luego acotas el grupo lda en el grupo del fortigate,

saludos

[avenger]

HOLA,

NAME: Nombre descriptivo
Server Name/IP: ip de mi servidor de AD
Server Port: 389
common name identifier: sAMAccountName
distinguished Name: OU=UsuariosOWA,DC=bbu,DC=com <---------- son diferentes dominios? bbu <->bicentenariobu
Bind Type: Regular
User DN: CN=usuarioadmin,OU=Users,DC=bicentenariobu,DC=com <----------
Password: El pass del admin de dominio


en distinguished Name: podrias dejar solo DC=DONINIO,DC=com
y luego acotas el grupo lda en el grupo del fortigate,

saludos

Sorry el dominio es bicentenariobu, por lo tanto el grupo quedaría así:

distinguished Name: OU=UsuariosOWA,DC=bicentenariobu,DC=com
Bind Type: Regular
User DN: CN=usuarioadmin,OU=Users,DC=bicentenariobu,DC=com
Password: El pass del admin de dominio

Una pregunta como veo ese grupo ldap en el fortigate??? Necesito utilizar el FSAE??? Si es así podrías pasarme el instalador??

[gabyrossi]

hola, fsae no se usa para autenticar vpn.

saludos

[avenger]

hola, fsae no se usa para autenticar vpn.

saludos

No es una VPN es un enlace directo a una ip publica solo que quiero que el login a esa dirección publica este restringida solo a un grupo de usuarios del AD.

[gabyrossi]

Hola, bueno usaras el ldap sin fsso(fsae).

saludos

[avenger]

Hola, bueno usaras el ldap sin fsso(fsae).

saludos

Ok entonces que estoy haciendo mal, porque solo me deja configurarlo con una OU pero me veo obligado a mover a los usuarios hasta allá, lo cual no debo. Necesito hacerlo es mediante un CN (grupo) en donde yo le indique a la regla del FW que los usuarios dentro de ese CN conecten a esa ip publica. Pero al hacerlo así nunca me permite hacer login, pareciera que el FW detectara el CN=grp-usr-owa como un nombre de usuario en vez de como un grupo.


Esa es la única duda que tengo, para no tener que mover los usuarios.

[gabyrossi]

hola, no tewnes que mover nada, revisa como hiciste la config. del ldap y del grupo en el fortigate.

hay avrios post en el foro sobre esto.
el fortigate autentica crupos CN=................
saludos