Buenas, por aqui nuevamente haber si me sacan de un apuro. tenemos un fortigate 60b con firmware 4.03.
he configurado el ssl para que funcione con autenticacion ldap, la cosa funciona de maravilla con la siguiente configuracion en ldap
set server "192.168.1.200"
set cnid "sAMAccountName"
set dn "cn=Usuarios,ou=regional,dc=miempresa,dc=com"
set type regular
set username "cn=fortinet,ou=Usuarios,ou=regional,dc=miempresa,dc=com"
set password ENC dL4CTnyCBv5Lhxrx5fJ0vURWpPf/1X3C3fVpDlHMFRRqTu+i71Zn1+
pero de esta manera todos los usuarios pueden acceder
ahora bien yo necesito que solo las persona del grupo sslvpn puedan acceder por lo que leyendo un poco encontre la opcion "Set group"
entonces la configuracion quedo de la siguiente manera
set server "192.168.1.200"
set cnid "sAMAccountName"
set dn "ou=Usuarios,ou=regional,dc=miempresa,dc=com"
set type regular
set username "cn=fortinet,ou=Usuarios,ou=regional,dc=miempresa,dc=com"
set password ENC dL4CTnyCBv5Lhxrx5fJ0vURWpPf/1X3C3fVpDlHMFRRqTu+i71Zn1+
set group "cn=sslvpn,ou=Usuarios,ou=regional,dc=miempresa,dc=com"
pero de esta manera no valida, me da siempre failed , hice pruebas con el siguiente comando:
diagnose test auth ldap miserver miusuario mipass
, controle con el softerra y me da todo bien, alguna sugerencia?
gracias Juls
ssl y ldap
Re: ssl y ldap
Hola, te dejo este link, revisalo, y fijate que te falta ajustar algo en la configuracion del ldap:
viewtopic.php?f=8&t=780&p=3444&hilit=ldap#p3444
saludos
Gabriel
viewtopic.php?f=8&t=780&p=3444&hilit=ldap#p3444
saludos
Gabriel
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
NSE 5 - Network Security Analyst
Re: ssl y ldap
gracias , Gabriel, como siempre un maestro, solo me faltaba modificar set filter y anduvo perfecto!
Juls
Juls
Re: ssl y ldap
Hola, de nada!!!
barbaro
saludos
barbaro
saludos
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
NSE 5 - Network Security Analyst
Re: ssl y ldap
Que tal,
Quisiera que me ayuden con esta configuracion, aunque no es para VPN sino para una Policy hacia internet.
Dentro de una OU tengo un grupo de usuarios, todos los usuarios que estén en dicho grupo podran salir a internet.
edit "LDAP_Avanzado"
set server "192.168.64.1" //Servidor Active Directory
set cnid "DC=cobiscorp,DC=int" //Mi Dominio - Porque ponen "sAMAccountName" o "cn" ??
set dn "OU=Int_Security,OU=Distribution_Groups,OU=Cobiscorp,DC=cobiscorp,DC=int" //La OU donde esta mi grupo de usuarios a autenticar.
set type regular
set username "CN=fw admin,CN=Users,DC=cobiscorp,DC=int" //Usuario para conexion y consulta
set password ENC Tw94EXKtFayfcRA0jO8UvApO4EEYvAT9YLfbysJnTSC553P2NSFz9ptykPn2PWq//d/Hd2P2JlvUR+3mMi7A/C4GfPQaGYMvNJOQthJn+midLTeZ
set group "CN=Avanzado,OU=Int_Security,OU=Distribution_Groups,OU=Cobiscorp,DC=cobiscorp,DC=int" //El Grupo "Avanzado" tiene todos mis usuarios
set filter "(&(objectcategory=group) (objectclass=group)(member=*))" //Le digo al forti que tiene que meterse al grupo a sacar a los usuarios
next
end
A la espera de su gran ayuda !!!!
Quisiera que me ayuden con esta configuracion, aunque no es para VPN sino para una Policy hacia internet.
Dentro de una OU tengo un grupo de usuarios, todos los usuarios que estén en dicho grupo podran salir a internet.
edit "LDAP_Avanzado"
set server "192.168.64.1" //Servidor Active Directory
set cnid "DC=cobiscorp,DC=int" //Mi Dominio - Porque ponen "sAMAccountName" o "cn" ??
set dn "OU=Int_Security,OU=Distribution_Groups,OU=Cobiscorp,DC=cobiscorp,DC=int" //La OU donde esta mi grupo de usuarios a autenticar.
set type regular
set username "CN=fw admin,CN=Users,DC=cobiscorp,DC=int" //Usuario para conexion y consulta
set password ENC Tw94EXKtFayfcRA0jO8UvApO4EEYvAT9YLfbysJnTSC553P2NSFz9ptykPn2PWq//d/Hd2P2JlvUR+3mMi7A/C4GfPQaGYMvNJOQthJn+midLTeZ
set group "CN=Avanzado,OU=Int_Security,OU=Distribution_Groups,OU=Cobiscorp,DC=cobiscorp,DC=int" //El Grupo "Avanzado" tiene todos mis usuarios
set filter "(&(objectcategory=group) (objectclass=group)(member=*))" //Le digo al forti que tiene que meterse al grupo a sacar a los usuarios
next
end
A la espera de su gran ayuda !!!!
Re: ssl y ldap
Hola, como estas? Si tenes ad, porque lo haces contra ldap¿? tenes pc que no estan en el dominio????
podrias autenticarlo mediante el fsae, si que tengan que autenticarse nuevamente cuando quieren navegar.
contesnto tu duda, se pone "sAMAccountName" para que cuando te pide la autenticacion no tengan que poner user.domionio.com y pass o use@dominio.com y pass y solo tengan que poner user y pass.
saludos
gabriel
podrias autenticarlo mediante el fsae, si que tengan que autenticarse nuevamente cuando quieren navegar.
contesnto tu duda, se pone "sAMAccountName" para que cuando te pide la autenticacion no tengan que poner user.domionio.com y pass o use@dominio.com y pass y solo tengan que poner user y pass.
saludos
gabriel
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
NSE 5 - Network Security Analyst
Re: ssl y ldap
Hay maquinas que no estan en dominio y el usuario no quiere poner nada en su windows 2k3.
este es el resultado y veo que no autentica
FGTCobiscorp_Mas~ # diagnose test authserver ldap LDAP_Avanzado rcorrea@cobiscorp.int Passw0rd
authenticate 'rcorrea@cobiscorp.int' against 'LDAP_Avanzado' failed!
FGTCobiscorp_Mas~ # diagnose test authserver ldap LDAP_Avanzado rcorrea Passw0rd
authenticate 'rcorrea' against 'LDAP_Avanzado' failed!
FGTCobiscorp_Mas~ # FGTC
Como mas puedo probar?
este es el resultado y veo que no autentica
FGTCobiscorp_Mas~ # diagnose test authserver ldap LDAP_Avanzado rcorrea@cobiscorp.int Passw0rd
authenticate 'rcorrea@cobiscorp.int' against 'LDAP_Avanzado' failed!
FGTCobiscorp_Mas~ # diagnose test authserver ldap LDAP_Avanzado rcorrea Passw0rd
authenticate 'rcorrea' against 'LDAP_Avanzado' failed!
FGTCobiscorp_Mas~ # FGTC
Como mas puedo probar?
Re: ssl y ldap
Hice unos cambios en la configuracion y me funcionó
config user ldap
edit "LDAP_Avanzado"
set server "192.168.64.1"
set cnid "sAMAccountName"
set dn "DC=cobiscorp,DC=int"
set type regular
set username "CN=fw admin,CN=Users,DC=cobiscorp,DC=int"
set password ENC Tw9ssdsasdtFayfcRA0jO8UvApO4EEYvAT9YLfbysJnTSC553P2asdasdaddPWq//d/Hd2P2JlvUR+3mMi7A/C4GfPTfsdf2XpaY5v2fbkQUy5
set group "CN=Avanzado,OU=Int_Security,OU=Distribution_Groups,OU=Cobiscorp,DC=cobiscorp,DC=int"
set filter "(&(objectcategory=group) (objectclass=group)(member=*))"
next
end
El usuario se encuentra dentro del grupo AVANZADO que está abajo de la OU INT_SECURITY.
Gracias por la ayuda.
config user ldap
edit "LDAP_Avanzado"
set server "192.168.64.1"
set cnid "sAMAccountName"
set dn "DC=cobiscorp,DC=int"
set type regular
set username "CN=fw admin,CN=Users,DC=cobiscorp,DC=int"
set password ENC Tw9ssdsasdtFayfcRA0jO8UvApO4EEYvAT9YLfbysJnTSC553P2asdasdaddPWq//d/Hd2P2JlvUR+3mMi7A/C4GfPTfsdf2XpaY5v2fbkQUy5
set group "CN=Avanzado,OU=Int_Security,OU=Distribution_Groups,OU=Cobiscorp,DC=cobiscorp,DC=int"
set filter "(&(objectcategory=group) (objectclass=group)(member=*))"
next
end
El usuario se encuentra dentro del grupo AVANZADO que está abajo de la OU INT_SECURITY.
Gracias por la ayuda.
Re: ssl y ldap
Hola, correcto es asi como habiamos dicho.
saludos y suerte
saludos y suerte
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
NSE 5 - Network Security Analyst