Página 1 de 1
Acceso VPN SSL a grupos AD
Publicado: 13 Jun 2014, 10:09
por Gerimeyer
Buenos días,
He unido correctamente un servidor de active directory mediante el fortigate con LDAP, con la intención de dar acceso a un portal VPN SSL a la gente con su pass de active directory. Hasta ahí todo correcto.
El problema comienza cuando intento crear grupos de usuarios de Active Directory que tengan acceso a esa conexión SSL VPN en la casilla: User Group-->Remote Serve-->Group Name-->Specify especificando una ruta con OUs, DCs, CNs y grupos. En ese momento me falla el logeo al portal.
¿Alguna sugerencia?
Re: Acceso VPN SSL a grupos AD
Publicado: 13 Jun 2014, 14:40
por gabyrossi
hola, podrias mostrar la config del ldap
y el grupo como lo armas?
saludos.
Re: Acceso VPN SSL a grupos AD
Publicado: 16 Jun 2014, 09:20
por Gerimeyer
Configuración del LDAP:
Código: Seleccionar todo
Name: AD
Server Name/IP: 10.10.10.10
Server Port: 339
Common Name Identifier: sAMAccountName
Distinguished Name: OU=RRHH,OU=Usuarios,DC=****,DC=****,DC=****
Bind Type: Regular
User DN: CN=adm.fortigate,OU=Admin,OU=Usuarios,DC=****,DC=****,DC=****
Password: ******
Configuración grupo 1:
Código: Seleccionar todo
Name: Grupo ususarios SSL
Type: Firewall
Allow SSL-VPN Access: Portal1
Remote Server: AD Group Name ANY:ok
Configuración grupo 2:
Código: Seleccionar todo
Name: Grupo ususarios SSL
Type: Firewall
Allow SSL-VPN Access: Portal2
Remote Server: AD Group Name Specify: CN=Usuario,OU=RRHH,OU=Usuarios,DC=****,DC=****,DC=****
El problema que tengo es que al loguearme en el portal con los usuarios del primer grupo todo funciona correctamente y accedo al Portal1 y al hacerlo con el llamado Usuario continúo accediendo al Portal1, cuando quiero conectarme al Portal2.
Re: Acceso VPN SSL a grupos AD
Publicado: 16 Jun 2014, 09:31
por Felipe
Buenas,
Si te das cuenta la configuración del grupo 1 incluye a los miembros del grupo 2. Por lo que si tienes la regla de acceso al Portal 1 encima de la del 2, siempre se accederá al portal 1 (puesto que todos los usuarios pertenecen al grupo 1). Por lo tanto si no quieres restringir el acceso al portal 1 tendrás que colocar la regla de acceso al portal 2 encima de la de acceso al portal 1. De este modo el firewall comprobará primero si el usuario es miembro del grupo 2 y, sino lo es, comprobará que pertenece al grupo 1 luego (que según lo tienes definido será cualquier usuario definido en el AD).
Espero te sirva de ayuda. Saludos.
Re: Acceso VPN SSL a grupos AD
Publicado: 16 Jun 2014, 09:51
por Gerimeyer
Felipe escribió:Buenas,
Si te das cuenta la configuración del grupo 1 incluye a los miembros del grupo 2. Por lo que si tienes la regla de acceso al Portal 1 encima de la del 2, siempre se accederá al portal 1 (puesto que todos los usuarios pertenecen al grupo 1). Por lo tanto si no quieres restringir el acceso al portal 1 tendrás que colocar la regla de acceso al portal 2 encima de la de acceso al portal 1. De este modo el firewall comprobará primero si el usuario es miembro del grupo 2 y, sino lo es, comprobará que pertenece al grupo 1 luego (que según lo tienes definido será cualquier usuario definido en el AD).
Espero te sirva de ayuda. Saludos.
Es una buena idea Felipe pero los grupos creo que no llevan prioridad como las políticas dependiendo del orden que tengan.
De hecho probé a quitar el grupo1 y el acceso al portal cautivo deja de funcionar.
Muchas gracias de todas formas.
Re: Acceso VPN SSL a grupos AD
Publicado: 16 Jun 2014, 10:03
por Gerimeyer
Ya está solucionado. Debía de tener algún nombre mal introducido de la ruta, porque lo he vuelta a crear y funciona como deseaba.
Gracias de todas formas.