Validar usuario VPN con Active Directory

[fermin]

Hola,

instalé el FSAE para poder ver los usuarios de AD en el FG con la intención de que para conectarse a la VPN, el usuario introduzca su usuario y contraseña de dominio. El tema es que creo un grupo de AD y ahi meto un grupo global que he creado con los usuario de la VPN. Luego en la configuración de la VPN en el campo XAUth marco "Habilitar como servidor", en tipo de servidor "auto" y en grupo de usuarios el grupo que he creado anteriormente de AD. Cuando me conecta con el FortiClient me salta la ventana para introducir el usuario, pero no me lo valida y no conecta. La pregunta es, es posible esta configuración y si es valida como se podria hacer? UN saludo

[gabyrossi]

Hola, como estas? Podras hacerlo pero con LDAP.Configurate el LDAP en el fortigate y podras usar los grupos del AD.


saludos
Gabriel

[fermin]

Gracias gabyrossi investigaré sobre LDAP. Un saludo.

[gabyrossi]

hola, de nada, cualquier cosa nos preguntas.

saludos
Gabriel

[fermin]

Hola, estoy intentando configurar LDAP pero no consigo para validar la VPN con un usuario de AD.

Voy a Usuario -> Remote -> LDAP.

Ahi introduzco un nombre de conexión, la dirección del controlador de dominio, el puerto 389 por defecto, el "cn" por defecto y en la ruta la OU donde están los usuarios: OU=VPN,DC=dominio,DC=local

Entonces ahora voy a "Grupo de usuario"

Creo un grupo le doy un nombre, en tipo "Firewall" en prefil de protección "unfiltered" y selecciono el servidor LDAP.

En la fase 1 de la VPN en el apartedo XAuth en el campo "Grupo de usuarios", selecciono el que he creado anteriormente.

Sabrian decirme que estoy haciendo mal para que no funcione? Gracias.

Un saludo.

[gabyrossi]

Hola, como estas? te paso un par de comandos para que chequees la conexion con el ldap desde el fortigate, por consola:

diagnose test authserver ldap <nombre del LDAPserver> <usuario> <pass>

ejemplo:
# diagnose test authserver ldap 'Pepe Prueba' pepe
authenticate 'Gabriel Rossi' against 'ldapsrv' succeeded!
o tambien:

#diagnose test authserver ldap ldapsrv gabyrossi@yoyo.com gabriel
authenticate 'gabyrossi@yoyo.com' against 'gabriel' succeeded!

saludos
Gabriel

[fermin]

Hola que tal? he introducido el comando y me da failed, vamos, que no se autentica...

[gabyrossi]

Hola, entonces o tenes mal delcarado el ldap en el forti o el user y pass deñ usuario esta mal.
Yo diria que esta mal declarado el ldap.

Proba haciendo esto:
Para agregar el server LDAP en el Fortigate se hace desde USER -> LDAP -> Create New -> Se edita el nombre del server de LDAP, la IP del server, el puerto usado. También se puede agregar el Cammon Name Identifier y Distinguished Name o dejar los 2 en blanco.

te dejo links con algunos ejemplos:
[Debes identificarte para poder ver enlaces.]
[Debes identificarte para poder ver enlaces.]
[Debes identificarte para poder ver enlaces.]


saludos

espero que te sirva

Gabriel

[fermin]

Muchas gracias una vez más gabyrossi! efectivamente si dejo el campo "Identificador de Nombre Común" y "Nombre Distinguido" en blanco, me valida, tengo que introducir el nombre completo de usuario, pero bueno, me vale igualmente.

Un saludo.

[gabyrossi]

Hola, ok asi funciona, fijate si chequeas como deberias acotarlo mejor.

saludos
Gabriel

[ibloni]

Buenas, yo tengo un error parecido, tengo un FORTI 80C con Version 4 MR3 Patch2, la VPN esta habilitada la PPTP y asigné el grupo de usuarios de LDA o Usuarios_AD,pero al querer autenticar me dice la VPN de Windows ERROR 691.

Que podria estar sucediendo?

Gracias!

[ibloni]

Me da todo el tiempo esto en el log: User '---@---.com.ar' is trying to connect using pptp with authentication protocol MSCHAP_V2, failed

Ya dejé el campo "Identificador de Nombre Común" y "Nombre Distinguido" en blanco, me da el OK en la configuracion de Usuario dentro del Forti

No se a que se refiere con: Mensaje: pppd is exiting

Tambien me da failed la prueba con

Tambien me da error en diagnose test authserver ldap

Alguna ayuda?

[gabyrossi]

hola, una vpn pptp no funciona por ldap....ni ad...

saludos.

[ibloni]

En serio????

Porque no? No es compatible la autenticacion?? Ya me estoy volviendo loco con este tema...

A mi ya se me quemaron todos los papeles de ver tantos tutoriales variados por Internet... tengo habilitado el PPTP por CLI ( [Debes identificarte para poder ver enlaces.] ) y estuve viendo lo de los tuneles Web (portales) pero no entendi del todo la idea

Lo que necesito hacer es conectarme a VPN a traves del Forti pero sin pasar por un servidor Windows VPN, quiero sacarlo del medio y que el Forti mire en el AD los usuarios y me de los permisos, para asi tambien poder usar todos mis recursos compartidos.

Es posible esto?

Me podrias dar los pasos necesarios para hacerlo junto con las politicas que debo crear?

Desde ya muchisimas gracias.

[gabyrossi]

hola si queers vpn y usar autenticadion de AD (ldap) podes hacer una vpn ssl o vpn ipsec con forticlient.

saludos.