Acceso VPN SSL a grupos AD

[Gerimeyer]

Buenos días,

He unido correctamente un servidor de active directory mediante el fortigate con LDAP, con la intención de dar acceso a un portal VPN SSL a la gente con su pass de active directory. Hasta ahí todo correcto.

El problema comienza cuando intento crear grupos de usuarios de Active Directory que tengan acceso a esa conexión SSL VPN en la casilla: User Group-->Remote Serve-->Group Name-->Specify especificando una ruta con OUs, DCs, CNs y grupos. En ese momento me falla el logeo al portal.

¿Alguna sugerencia?

[gabyrossi]

hola, podrias mostrar la config del ldap
y el grupo como lo armas?

saludos.

[Gerimeyer]

Configuración del LDAP:

Código: Seleccionar todo

Name: AD   
Server Name/IP: 10.10.10.10
Server Port: 339
Common Name Identifier: sAMAccountName
Distinguished Name: OU=RRHH,OU=Usuarios,DC=****,DC=****,DC=****
Bind Type: Regular
User DN: CN=adm.fortigate,OU=Admin,OU=Usuarios,DC=****,DC=****,DC=****
Password: ******

Configuración grupo 1:

Código: Seleccionar todo

Name: Grupo ususarios SSL   
Type: Firewall 
Allow SSL-VPN Access: Portal1
Remote Server: AD              Group Name   ANY:ok

Configuración grupo 2:

Código: Seleccionar todo

Name: Grupo ususarios SSL   
Type: Firewall 
Allow SSL-VPN Access: Portal2
Remote Server: AD              Group Name   Specify: CN=Usuario,OU=RRHH,OU=Usuarios,DC=****,DC=****,DC=****

El problema que tengo es que al loguearme en el portal con los usuarios del primer grupo todo funciona correctamente y accedo al Portal1 y al hacerlo con el llamado Usuario continúo accediendo al Portal1, cuando quiero conectarme al Portal2.

[Felipe]

Buenas,

Si te das cuenta la configuración del grupo 1 incluye a los miembros del grupo 2. Por lo que si tienes la regla de acceso al Portal 1 encima de la del 2, siempre se accederá al portal 1 (puesto que todos los usuarios pertenecen al grupo 1). Por lo tanto si no quieres restringir el acceso al portal 1 tendrás que colocar la regla de acceso al portal 2 encima de la de acceso al portal 1. De este modo el firewall comprobará primero si el usuario es miembro del grupo 2 y, sino lo es, comprobará que pertenece al grupo 1 luego (que según lo tienes definido será cualquier usuario definido en el AD).

Espero te sirva de ayuda. Saludos.

[Gerimeyer]

Buenas,

Si te das cuenta la configuración del grupo 1 incluye a los miembros del grupo 2. Por lo que si tienes la regla de acceso al Portal 1 encima de la del 2, siempre se accederá al portal 1 (puesto que todos los usuarios pertenecen al grupo 1). Por lo tanto si no quieres restringir el acceso al portal 1 tendrás que colocar la regla de acceso al portal 2 encima de la de acceso al portal 1. De este modo el firewall comprobará primero si el usuario es miembro del grupo 2 y, sino lo es, comprobará que pertenece al grupo 1 luego (que según lo tienes definido será cualquier usuario definido en el AD).

Espero te sirva de ayuda. Saludos.

Es una buena idea Felipe pero los grupos creo que no llevan prioridad como las políticas dependiendo del orden que tengan.

De hecho probé a quitar el grupo1 y el acceso al portal cautivo deja de funcionar.

Muchas gracias de todas formas.

[Gerimeyer]

Ya está solucionado. Debía de tener algún nombre mal introducido de la ruta, porque lo he vuelta a crear y funciona como deseaba.

Gracias de todas formas.