Comunidad FORTIGATE.es

Web NO OFICIAL de soporte en español
https://www.fortigate.es/

ssl y ldap

https://www.fortigate.es/viewtopic.php?t=797

Página 1 de 1

ssl y ldap

Publicado: 19 Ago 2009, 13:54
por juls
Buenas, por aqui nuevamente haber si me sacan de un apuro. tenemos un fortigate 60b con firmware 4.03.
he configurado el ssl para que funcione con autenticacion ldap, la cosa funciona de maravilla con la siguiente configuracion en ldap

set server "192.168.1.200"
set cnid "sAMAccountName"
set dn "cn=Usuarios,ou=regional,dc=miempresa,dc=com"
set type regular
set username "cn=fortinet,ou=Usuarios,ou=regional,dc=miempresa,dc=com"
set password ENC dL4CTnyCBv5Lhxrx5fJ0vURWpPf/1X3C3fVpDlHMFRRqTu+i71Zn1+

pero de esta manera todos los usuarios pueden acceder
ahora bien yo necesito que solo las persona del grupo sslvpn puedan acceder por lo que leyendo un poco encontre la opcion "Set group"
entonces la configuracion quedo de la siguiente manera

set server "192.168.1.200"
set cnid "sAMAccountName"
set dn "ou=Usuarios,ou=regional,dc=miempresa,dc=com"
set type regular
set username "cn=fortinet,ou=Usuarios,ou=regional,dc=miempresa,dc=com"
set password ENC dL4CTnyCBv5Lhxrx5fJ0vURWpPf/1X3C3fVpDlHMFRRqTu+i71Zn1+
set group "cn=sslvpn,ou=Usuarios,ou=regional,dc=miempresa,dc=com"

pero de esta manera no valida, me da siempre failed , hice pruebas con el siguiente comando:
diagnose test auth ldap miserver miusuario mipass
, controle con el softerra y me da todo bien, alguna sugerencia?
gracias Juls

Re: ssl y ldap

Publicado: 19 Ago 2009, 13:58
por gabyrossi
Hola, te dejo este link, revisalo, y fijate que te falta ajustar algo en la configuracion del ldap:

viewtopic.php?f=8&t=780&p=3444&hilit=ldap#p3444

saludos
Gabriel

Re: ssl y ldap

Publicado: 19 Ago 2009, 16:22
por juls
gracias , Gabriel, como siempre un maestro, solo me faltaba modificar set filter y anduvo perfecto!
Juls

Re: ssl y ldap

Publicado: 20 Ago 2009, 13:53
por gabyrossi
Hola, de nada!!!

barbaro

saludos

Re: ssl y ldap

Publicado: 30 Oct 2009, 01:41
por GuiMo
Que tal,

Quisiera que me ayuden con esta configuracion, aunque no es para VPN sino para una Policy hacia internet.
Dentro de una OU tengo un grupo de usuarios, todos los usuarios que estén en dicho grupo podran salir a internet.


edit "LDAP_Avanzado"
set server "192.168.64.1" //Servidor Active Directory
set cnid "DC=cobiscorp,DC=int" //Mi Dominio - Porque ponen "sAMAccountName" o "cn" ??
set dn "OU=Int_Security,OU=Distribution_Groups,OU=Cobiscorp,DC=cobiscorp,DC=int" //La OU donde esta mi grupo de usuarios a autenticar.
set type regular
set username "CN=fw admin,CN=Users,DC=cobiscorp,DC=int" //Usuario para conexion y consulta
set password ENC Tw94EXKtFayfcRA0jO8UvApO4EEYvAT9YLfbysJnTSC553P2NSFz9ptykPn2PWq//d/Hd2P2JlvUR+3mMi7A/C4GfPQaGYMvNJOQthJn+midLTeZ
set group "CN=Avanzado,OU=Int_Security,OU=Distribution_Groups,OU=Cobiscorp,DC=cobiscorp,DC=int" //El Grupo "Avanzado" tiene todos mis usuarios
set filter "(&(objectcategory=group) (objectclass=group)(member=*))" //Le digo al forti que tiene que meterse al grupo a sacar a los usuarios
next
end


A la espera de su gran ayuda !!!!

Re: ssl y ldap

Publicado: 30 Oct 2009, 02:45
por gabyrossi
Hola, como estas? Si tenes ad, porque lo haces contra ldap¿? tenes pc que no estan en el dominio????

podrias autenticarlo mediante el fsae, si que tengan que autenticarse nuevamente cuando quieren navegar.

contesnto tu duda, se pone "sAMAccountName" para que cuando te pide la autenticacion no tengan que poner user.domionio.com y pass o use@dominio.com y pass y solo tengan que poner user y pass.


saludos
gabriel

Re: ssl y ldap

Publicado: 30 Oct 2009, 18:04
por GuiMo
Hay maquinas que no estan en dominio y el usuario no quiere poner nada en su windows 2k3.


este es el resultado y veo que no autentica

FGTCobiscorp_Mas~ # diagnose test authserver ldap LDAP_Avanzado rcorrea@cobiscorp.int Passw0rd
authenticate 'rcorrea@cobiscorp.int' against 'LDAP_Avanzado' failed!

FGTCobiscorp_Mas~ # diagnose test authserver ldap LDAP_Avanzado rcorrea Passw0rd
authenticate 'rcorrea' against 'LDAP_Avanzado' failed!

FGTCobiscorp_Mas~ # FGTC

Como mas puedo probar?

Re: ssl y ldap

Publicado: 30 Oct 2009, 19:50
por GuiMo
Hice unos cambios en la configuracion y me funcionó


config user ldap
edit "LDAP_Avanzado"
set server "192.168.64.1"
set cnid "sAMAccountName"
set dn "DC=cobiscorp,DC=int"
set type regular
set username "CN=fw admin,CN=Users,DC=cobiscorp,DC=int"
set password ENC Tw9ssdsasdtFayfcRA0jO8UvApO4EEYvAT9YLfbysJnTSC553P2asdasdaddPWq//d/Hd2P2JlvUR+3mMi7A/C4GfPTfsdf2XpaY5v2fbkQUy5
set group "CN=Avanzado,OU=Int_Security,OU=Distribution_Groups,OU=Cobiscorp,DC=cobiscorp,DC=int"
set filter "(&(objectcategory=group) (objectclass=group)(member=*))"
next
end

El usuario se encuentra dentro del grupo AVANZADO que está abajo de la OU INT_SECURITY.


Gracias por la ayuda.

Re: ssl y ldap

Publicado: 31 Oct 2009, 00:08
por gabyrossi
Hola, correcto es asi como habiamos dicho.

saludos y suerte
Todos los horarios son UTC+02:00
Página 1 de 1

Desarrollado por phpBB® Forum Software © phpBB Limited

Traducción al español por phpBB España