Comunidad FORTIGATE.es

Bueno, he logrado configurar al tercer intento la VPN-SSL con usuarios locales y ahora estoy intentando integrar el forti con el Active directory de un Windows 2008 server, consigo crear el grupo de usuarios (tras instalar el agente de "FSAE" en el servidor) pero continúa sin reconocerme los usuarios del grupo que he añadido para loguear a la VPN.

Lo único "raro" que veo es que en la política sólo me deja agregar el grupo local, no aparece el de "Active Directory".

¿Alguna idea?

Gracias por adelantado

Hola, como estas? Primero, la vpn ssl no deja autenticar contra Ad mediante fsae, si lo podras hacer contra ldap.

Siempre las autenticaciones son contra grupos. Grupos de usuarios locales, grupos de radius, grupos de ldap, etc.

saludos
Gabriel

¿Entonces tomaré como referencia este documento?

[Debes identificarte para poder ver enlaces.]

El dominio tiene "egss" jejeje, de todos modos voy a probar

Hola, si nose si esta completo y actualizado esde doc, pero puede servirte para configurar el ldap.
si solo necesitas que un grupo de tu ldap entre ahi tendras que hacer otras cosas en la configuracion del fortigate del ldap.


Aca te dejo el link donde esta la guia de ssl vpn
[Debes identificarte para poder ver enlaces.]

saludos
Gabriel

Retomo el tema, ya que me falla la parte de LDAP, siempre me sale "Consulta fallida" a pesar de haber probado distintas configuraciones, adjunto la última. Antes en "Tipo de bind" tenía Simple (Creo que es lo que marcaba por defecto).

He tomado como referencia el documento que me comentábais en el post de arriba y este otro: [Debes identificarte para poder ver enlaces.]

¿Qué puede fallar?

hola, como estas? el ldap com est configurado? copia la configuracion

la vpn ssl la vas autenticar contra algun grupo especial del ldap?

saludos
Gabriel

Es que creo que me estoy liando, si uso el agente FSAE ¿necesito configurar el LDAP?, si entro en el apartado "Directory Service" puedo ver todos los grupos del dominio y tal, es decir, hay conectividad ¿sería suficiente para autenticar usuarios vía VPN-SSL?

Edito: [Debes identificarte para poder ver enlaces.] -> En estos pasos sí indica que es necesario configurar LDAP... seguiré probando, imagino que habrá un comando CLI para listar la configuración ¿verdad?, porque sólo he encontrado cómo configurarlo (edit).

Hola, como estas? para el ssl no es necesario el fsae, ya que la autenticacion para ssl es mediante el ldap.

Tenes que configurar el ldap en el fotigate en base a que usuarios de que grupos del ad, vas a dejar autenticarse.

[Debes identificarte para poder ver enlaces.]
[Debes identificarte para poder ver enlaces.]
[Debes identificarte para poder ver enlaces.]

saludos

OK gracias, pero sigue sin hacerme mucho caso, he configurado lo mínimo imprescindible, lo más que consigo es lo que se ve en el pantallazo adjunto, que según el primer documento que me indicas serviría para loguear con login@dominio.local pero nada, no lo reconoce. Si le indico OU=vpn,dc=dominio,dc=local y entro en la misma ventana me indica "consulta fallida" (VPN es una Unidad Organizativa nueva que he creado con varios usuarios).

Edito: Haciendo un dsquery user en el servidor tengo que el usuario es:

"CN=fortinet,OU=VPN,DC=dominio,DC=local"

Hola, como estas? SI lo dejas asi como tenes en la pantalla, cuando te pida el login deberas poner como usuario: usuario@dominio

Si solo necesitas que te pide el user sin el dominio deberias hacer hacer algo asi:

config user ldap
edit "SrvLDAP"
set server "192.168.1.12"
set cnid "sAMAccountName"
set dn "DC=ggd,DC=com"
set type regular
set username "CN=forti admin,OU=SISTEMAS,OU=HOND 4210,DC=ggd,DC=com"
set password ENC 6AMAAA80uLkIHP2vwxKoHFXKs9qQ+4c6r7v8VkmbjHk8YMm/it78dq5uwrqlObvRXFmYucaZtDq8PN/OachhxZcs5NYJwwZmqoL3UV+UiK7vCQXZ
set filter "(member=*)"
next
end


Eso te autenticara todos los usuario del dominio, y en la pantalla de logien solo sera user y pass.

si necesitas que solo un grupo de ldap accedan, tendras que hacer algo mas.

saludos

gabyrossi escribió:Hola, como estas? SI lo dejas asi como tenes en la pantalla, cuando te pida el login deberas poner como usuario: usuario@dominio

Así es como debería ser, pero no autentica he probado con usuario@dominio y usuario@dominio.local.

Y probando la configuración que me comentas tampoco logro que funcione , la password por si acaso la he metido por la interfaz web, la configuración ahora la tengo como el pantallazo adjunto (desconozco el comando CLI para "listar" la configuración). ¿Se llevará mal con el Active Directory de 2008?

Hola, primero hiciste la prueba de configurar el ldap sin nada asi de simpre? y ver si te autentica¿


solo con el nombre , ip del server y puerto. en tipo bind simple

y luego por consola ejecutas y pruebas un user y pass?

# diagnose test authserver ldap server pepe@dominio.com password

gabyrossi escribió:Hola, primero hiciste la prueba de configurar el ldap sin nada asi de simpre? y ver si te autentica¿


solo con el nombre , ip del server y puerto. en tipo bind simple

y luego por consola ejecutas y pruebas un user y pass?

# diagnose test authserver ldap server pepe@dominio.com password

Sí, había probado (está unos posts más arriba), en cuanto al diagnose... probaría, pero no me saca la @ en el CLI de la interfaz web (Probé con alt gr o ctrl+alt)

Hola, porque no probas por ssh, desde tu pc....

esas pruebas son basicas y esenciales.

saludos