VPN SSL + AD
Publicado: 21 Feb 2019, 10:07
Buenos días a todos,
Voy e explicar el problema que tengo con la validación de usuario en una VPNSSL vinculada con un AD.
La versión del Firewall y modelo es el siguiente --> Fortigate 1000D versión v5.4.6,build1165 (GA)
He configurado la VPN y con usuarios locales funciona correctamente, la vincualción con el AD ha funcionado correctamente ya que al crear los Usuarios y Grupos en el AD los puedo añadir sin problemas en el Firewall, y este es capaz de ver el arbol del AD.
Al hacer pruebas cuando intento acceder con un usuario del AD me sale permission denied y no me deja acceder. Tras ver este problema en el forti lanzo el siguiente comando para revisar que los usuarios se validan con el AD:
"diag test authserver ldap NOMBRE_LDAP USUARIO PASSWORD"
Tras ejecutar este comando me dice que la autenciación es fallida, por lo que entiendo que el problema esta con la validación de los usuarios que no funciona correctamente.
he revisado el debug cuando se intenta la validación del usuario:
"2019-02-20 09:03:17 [13232:"":343c]sslvpn_authenticate_user:168 authenticate user: [user4]
2019-02-20 09:03:17 [13232:"":343c]sslvpn_authenticate_user:175 create fam state
2019-02-20 09:03:17 [13232:"":343c]fam_auth_send_req:528 with server blacklist:
2019-02-20 09:03:17 [13232:"":343c]fam_auth_send_req:625 clear local user flag and do authentication again.
2019-02-20 09:03:17 [13232:"":343c]fam_auth_send_req:528 with server blacklist:
2019-02-20 09:03:17 [13232:"":343c]fam_auth_send_req:634 task finished with 5
2019-02-20 09:03:17 [13232:"":343c]login_failed:255 user[user4],auth_type=0 failed [sslvpn_login_unknown_user]
2019-02-20 09:03:17 [13232:"":0]dump_one_blocklist:82 status=1;host="";fails=1;logintime=1550649797
2019-02-20 09:03:17 [13232:"":343c]req: /remote/login?&err=sslvpn_login_permission_denied&lang=en
2019-02-20 09:03:17 [13232:"":343c]rmt_web_auth_info_parser_common:418 no session id in auth info
2019-02-20 09:03:17 [13232:"":343c]rmt_web_get_access_cache:729 invalid cache, ret=4103
2019-02-20 09:03:17 [13232:"":343c]req: /css/main-blue.css
2019-02-20 09:03:17 [13232:"":343c]mza: 0x212bc70 /css/main-blue.css
2019-02-20 09:03:17 [13233:"":3439]allocSSLConn:276 sconn 0x7f515427b000 (12:"")
2019-02-20 09:03:17 [13234:"":3437]allocSSLConn:276 sconn 0x7f5153eb4800 (12:"")
2019-02-20 09:03:17 [13233:"":3439]SSL state:before/accept initialization ("")
2019-02-20 09:03:17 [13233:"":3439]SSL state:SSLv3 read client hello A ("")
2019-02-20 09:03:17 [13233:"":3439]SSL state:SSLv3 write server hello A ("")
2019-02-20 09:03:17 [13233:"":3439]SSL state:SSLv3 write certificate A ("")
2019-02-20 09:03:17 [13233:"":3439]SSL state:SSLv3 write key exchange A ("")
2019-02-20 09:03:17 [13233:"":3439]SSL state:SSLv3 write server done A ("")
2019-02-20 09:03:17 [13233:"":3439]SSL state:SSLv3 flush data ("")
2019-02-20 09:03:17 [13233:"":3439]SSL state:SSLv3 read client certificate A ("")
2019-02-20 09:03:17 [13233:"":3439]SSL state:SSLv3 read client key exchange A:system lib("")
2019-02-20 09:03:17 [13234:"":3437][13233:"":3439]SSL state:before/accept initialization ("")
SSL state:SSLv3 read client key exchange A:system lib("")"
He estado revisando y haciendo diferentes pruebas pero no consigo hacer que valide correctamente.
En la configuración del LDAP_SERVER lo tengo que no sea seguro.
Muchas gracias de antemano.
Voy e explicar el problema que tengo con la validación de usuario en una VPNSSL vinculada con un AD.
La versión del Firewall y modelo es el siguiente --> Fortigate 1000D versión v5.4.6,build1165 (GA)
He configurado la VPN y con usuarios locales funciona correctamente, la vincualción con el AD ha funcionado correctamente ya que al crear los Usuarios y Grupos en el AD los puedo añadir sin problemas en el Firewall, y este es capaz de ver el arbol del AD.
Al hacer pruebas cuando intento acceder con un usuario del AD me sale permission denied y no me deja acceder. Tras ver este problema en el forti lanzo el siguiente comando para revisar que los usuarios se validan con el AD:
"diag test authserver ldap NOMBRE_LDAP USUARIO PASSWORD"
Tras ejecutar este comando me dice que la autenciación es fallida, por lo que entiendo que el problema esta con la validación de los usuarios que no funciona correctamente.
he revisado el debug cuando se intenta la validación del usuario:
"2019-02-20 09:03:17 [13232:"":343c]sslvpn_authenticate_user:168 authenticate user: [user4]
2019-02-20 09:03:17 [13232:"":343c]sslvpn_authenticate_user:175 create fam state
2019-02-20 09:03:17 [13232:"":343c]fam_auth_send_req:528 with server blacklist:
2019-02-20 09:03:17 [13232:"":343c]fam_auth_send_req:625 clear local user flag and do authentication again.
2019-02-20 09:03:17 [13232:"":343c]fam_auth_send_req:528 with server blacklist:
2019-02-20 09:03:17 [13232:"":343c]fam_auth_send_req:634 task finished with 5
2019-02-20 09:03:17 [13232:"":343c]login_failed:255 user[user4],auth_type=0 failed [sslvpn_login_unknown_user]
2019-02-20 09:03:17 [13232:"":0]dump_one_blocklist:82 status=1;host="";fails=1;logintime=1550649797
2019-02-20 09:03:17 [13232:"":343c]req: /remote/login?&err=sslvpn_login_permission_denied&lang=en
2019-02-20 09:03:17 [13232:"":343c]rmt_web_auth_info_parser_common:418 no session id in auth info
2019-02-20 09:03:17 [13232:"":343c]rmt_web_get_access_cache:729 invalid cache, ret=4103
2019-02-20 09:03:17 [13232:"":343c]req: /css/main-blue.css
2019-02-20 09:03:17 [13232:"":343c]mza: 0x212bc70 /css/main-blue.css
2019-02-20 09:03:17 [13233:"":3439]allocSSLConn:276 sconn 0x7f515427b000 (12:"")
2019-02-20 09:03:17 [13234:"":3437]allocSSLConn:276 sconn 0x7f5153eb4800 (12:"")
2019-02-20 09:03:17 [13233:"":3439]SSL state:before/accept initialization ("")
2019-02-20 09:03:17 [13233:"":3439]SSL state:SSLv3 read client hello A ("")
2019-02-20 09:03:17 [13233:"":3439]SSL state:SSLv3 write server hello A ("")
2019-02-20 09:03:17 [13233:"":3439]SSL state:SSLv3 write certificate A ("")
2019-02-20 09:03:17 [13233:"":3439]SSL state:SSLv3 write key exchange A ("")
2019-02-20 09:03:17 [13233:"":3439]SSL state:SSLv3 write server done A ("")
2019-02-20 09:03:17 [13233:"":3439]SSL state:SSLv3 flush data ("")
2019-02-20 09:03:17 [13233:"":3439]SSL state:SSLv3 read client certificate A ("")
2019-02-20 09:03:17 [13233:"":3439]SSL state:SSLv3 read client key exchange A:system lib("")
2019-02-20 09:03:17 [13234:"":3437][13233:"":3439]SSL state:before/accept initialization ("")
SSL state:SSLv3 read client key exchange A:system lib("")"
He estado revisando y haciendo diferentes pruebas pero no consigo hacer que valide correctamente.
En la configuración del LDAP_SERVER lo tengo que no sea seguro.
Muchas gracias de antemano.