Gruppenzuweisungsproblem wenn SSL-VPN geändert wird

Hallo zusammen,

wir möchte gern in Zukunft von der UTM auf die SFOS wechseln. Dabei habe ich einer Testumgebung unsere Konfiguration der UTM so gut es geht eingerichtet. Dabei ist uns ein Problem aufgefallen. Bei der Nutzung von SSL-VPN und der Authentifizierung über AD. Bei den Services sind dabei folgende Einstellungen gemacht:

Die default group steht auf Open Group. Alle VPN-Nutzer sind in einer seperaten Gruppe SSL_VPN_User. Werden nun in den SSL-VPN-Einstellungen die VPN-Settings angepasst, z.B der Port für den Zugriff oder der Hostname, dann werden alle Nutzer der default group wieder zugewiesen und verschwinden aus der SSL_VPN_User-Gruppe.

Wie kann man dieses Verhalten ändern?

VG Shorty

  • Die XG behält sich eine Gruppe, die sogenannte Primary Group. Beim Import der Gruppen spielt es eine Rolle, welche Gruppe zu erste kommt (Von oben nach unten). First Match zählt hier und jeder User wird in die erste Gruppe rein kommen, die bei ihm matched. Sollte keine Matchen, kommt die Default Group. Das gilt für das Primary Group Prinzip.

    SSLVPN hat einen eigenen Group Flag in XG. Unter einem User siehst du, dass die XG ihm trotzdem der SSLVPN Konfiguration zuordnet, auch wenn er nicht in der Gruppe SSL VPN drin ist auf der XG. 

     

    Diese Information stammt auch aus dem AD. 

  • In reply to LuCar Toni:

    Danke für die Info. Scheinbar kommt der Fehler von einer anderen Stelle. Ich habe den Nutzer nochmal im Backend gelöscht gehabt.

    • Habe mich nochmal mit einem AD-User im Userportal angemeldet
      • Nutzer wird im Backend angelegt
      • Nutzer sieht die VPN-Config nicht
      • Nutzer ist der Gruppe OpenGroup zugewiesen
    • Nutzer wird der SSL_VPN_Gruppe zugewiesen
      • Nutzer ist im Backend der passenden Gruppe zugewiesen
      • Nutzer sieht im Userportal die Konfiguration
      • Nutzer meldet sich ab

    Sobald sich nun der Nutzer erneut anmeldet, wird er automatisch der Gruppe OpenGroup zugewiesen. Es scheint das der Nutzer wie neu importiert wurde. Die Einstellungen in den Authenticationservices ist dabei wie folgt gesetzt (alle weiteren nutzen diese Einstellungen auch (Set authentication methods same as firewall)):

     

    Danke Shorty

     

     

  • In reply to Shorty:

    Die XG hat eine Reihenfolge der Gruppenzuweisen. Welche Reihenfolge hast du dort konfiguriert? 

    Welche Gruppe hast du "wie" importiert in die XG? Es scheint so, als würde die XG die Gruppe für VPN nicht bekommen. 

  • In reply to LuCar Toni:

    Ich habe die Gruppe (laut Anleitung Sophos) manuell konfiguriert und nur das "AD" als Authentifizierungsort mit angegeben, damit sich auch die AD-User anmelden können. Die Reihenfolge ist 

    • local
    • AD