Autenticacion LDAP en VPN SSL

[dcrosio]

Hola,

Estoy teniendo un problema con el LDAP, revise, revise, revise y esta bien configurado pero no me autentica usuarios

El Servidor LDAP es un Windows Server Domain Controler, los usuarios son usuarios del AD
El equipo es un FG200D con FortiOS 5.0 G6

1) Configuro el servidor LDAP
config user ldap
edit "LDAP_Server01"
set server "172.17.242.20"
set cnid "cnid=sAMAccountName"
set dn "DC=axionlog,DC=ad"
set type regular
set username "cn=Crosio\\, Daniel,ou=Telecom IT,ou=Users,ou= DC Pacheco,ou=AR,dc=axionlog,dc=ad"
set password ENC *******
next
end

2) Realizo la consulta

MAL-Principal # diagnose test authserver ldap LDAP_Server01 ta-adacros **********
fnbamd_fsm.c[1391] handle_req-Rcvd auth req 35 for ta-adacros in LDAP_Server01 opt=27 prot=0
fnbamd_ldap.c[866] resolve_ldap_FQDN-Resolved address 172.17.242.20, result 172.17.242.20
fnbamd_ldap.c[352] start_search_dn-base:'DC=axionlog,DC=ad' filter:cnid=sAMAccountName=ta-adacros

fnbamd_ldap.c[1594] fnbamd_ldap_get_result-Going to SEARCH state
fnbamd_fsm.c[1885] auth_ldap_result-Continue pending for req 35
fnbamd_ldap.c[1490] fnbamd_ldap_get_result-Not ready yet
fnbamd_fsm.c[1885] auth_ldap_result-Continue pending for req 35
fnbamd_ldap.c[1490] fnbamd_ldap_get_result-Not ready yet
fnbamd_fsm.c[1885] auth_ldap_result-Continue pending for req 35
fnbamd_ldap.c[1490] fnbamd_ldap_get_result-Not ready yet
fnbamd_fsm.c[1885] auth_ldap_result-Continue pending for req 35
fnbamd_ldap.c[395] get_all_dn-Found no DN
fnbamd_ldap.c[418] start_next_dn_bind-No more DN left
fnbamd_ldap.c[1851] fnbamd_ldap_get_result-Auth denied
fnbamd_auth.c[2038] fnbamd_auth_poll_ldap-Result for ldap svr 172.17.242.20 is denied
fnbamd_comm.c[146] fnbamd_comm_send_result-Sending result 1 for req 35
fnbamd_fsm.c[311] destroy_auth_session-delete session 35
authenticate 'ta-adacros' against 'LDAP_Server01' failed!


3) FAILED !!!!

Mis dudas son las siguientes:
El usuario esta definido en una OU: ou=Telecom IT,ou=Users,ou= DC Pacheco,ou=AR,dc=axionlog,dc=ad
y tambien es miembro de un grupo: CN=AR-MUN-SSLVPN-ACCESS,OU=Grupos de Navegacion,DC=axionlog,DC=ad

Yo quisiera poder chequear los usuarios que son miembros del grupo.

Que estoy haciendo mal?????

Gracias

[gabyrossi]

hola, estos es correcto?

cn=Crosio\\, Daniel,ou=Telecom IT,ou=Users,ou= DC Pacheco,ou=AR,dc=axionlog,dc=ad

???

[dcrosio]

Hola gabirossi,

Si es correcto, todo es correcto y no funcionaba............

Termine probando con otro DC (hay varios en el mismo dominio) y funciono con ese otro, consulte a "mis amigos" administradores de windows como podia ser que en uno funcionaba perfecto y en otro no, y magicamente algo que no funciono durante 5 dias de pruebas comenzo a funcionar. Cuando consulte que tocaron o a que le hicieron refresh, la respuesta fue "nada, no tocamos nada"

Bueno la magia existe, y los servidores se arreglan solos eso ya lo sabemos los que lidiamos con ciertos Sistemas Operativos

Gracias de todas formas

El tema esta resuelto

[And.quijada]

Seguro era una regla en el Firewall de Windows. Quizás lo bajaron y por eso comenzó a funcionar.

Saludos.