Ipsec y ssl

[juls]

Resulta que armamos una vpn con acceso ipsec mediante el forticlient para los usuarios del dominio y un portal de ssl para usuarios locales del fortigate, hasta ahi todo funciona bien.
Lo que quisiera hacer en la parte de ipsec es que solo los usuarios que pertencen a un grupo global de active directory sean los unicos con acceso por ipsec.
lo realizado hast el momento fue en
ldap dejo el campo common name identifier y distinguished name en blanco la cosa funciona pero todo el dominio puede acceder, si pongo cn y la ou y el dc, no me valida a nadie...
alguna idea de como seguir?

por otro lado el tipo de usuario windows ad sirve para la vpn o simplemete es para la politica de firewall interna?

gracias a todos y y cabe aclara que soy nuevo en el tema

Julian

[gabyrossi]

Hola, como estas? un programa que te puede servir para configurar el ldap es el soft terra ldap.

lo de ad lo podras usar para autenticar politicas, no podras usarlo en vpn ipsec.
vpn's podras usar usuarios locales, radius o ldap.

saludos
Gabriel

[juls]

Gracias gabriel por la respuesta, te hago una consulta mas el ldap en windows 2003 se debe activar de alguna manera o cuando uno crea un active directory esto es automatico...te pregunto porque no puedo conectarme con el soft de terra, pero de hecho algo debe funcionar porue sino no podria ingresar con el fortigate
Saludos
Julian

[gabyrossi]

hola, te dejo este link para que lo mires:

[Debes identificarte para poder ver enlaces.]

saludos
gabriel

[juls]

Gabriel ahi leia los links pero en ningun lugar habla de autenticar por grupo
por ejemplo yo armo un grupo global vpnusers en active directory supongamos en la ou=vpn y ademas le agrego un user test1
entonces en el fortigate pongo

common name identifier: cn=vpn
distinguished name: ou=miorganizacion, dc=dominio,dc=com

abro la consola y ejecuto

diagnose test authserver ldap ADLdap2003 test1 12345678
el resultado es succesfull!

pero si intento con un usuario que pertenece al grupo global vpn me da failed!

alguna idea?

gracias Julian

[gabyrossi]

hola, como estas? Proba con el Cammon Name Identifier y el Distinguished Name dejandolos los 2 en blanco.

saludos
Gabriel

[juls]

hola, como estas? Proba con el Cammon Name Identifier y el Distinguished Name dejandolos los 2 en blanco.

saludos
Gabriel

si los dejo en blanco funciona, pero le doy acceso a todos los usuarios del dominio y solo quiero que tengan acceso los usuarios que pertenecen al grupo global VPN

Saludos

[gabyrossi]

Hola, como estas? Seria bueno que trate de usar el softterra ldap, te ayudara mucho con esto.
con el manual por ahi lo resolvesç:

[Debes identificarte para poder ver enlaces.]

saludos
Gabriel

[juls]

Gracias por todo Gabriel ya logre solucionar el tema del acceso, una mas.....
se puede agregar un filtrado por mac address o con certificado en ipsec?
Julian

[gabyrossi]

hola, buenisimo. Podras usar un certificado o un token.

saludos
gabriel

[juls]

Gracias por todo Gabriel...Maestro!!!!

[gabyrossi]

hola, de nada

saludos!!!