Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 38 subscribers
  • Views 8056 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Benutzer aus AD auslesen

Akcent
Hallo,

ich suche mir gerade den Wolf oder sehe vor lauter Bäumen den Wald nicht.

Momentan surfen die User im Standard-Mode.

Nun möchte ich im AD Gruppen anlegen (z.B Internetzugriff Allgemein, Internetzugriff Einkauf, Internetzugriff Finanzseiten....), diese dann auslesen, so daß ich mit diesen auch in der ASG arbeiten kann. Aber wo kann ich das angeben. Irgendwie gibt es verschiedene Stellen die evtl in Betracht kommen. Ich hätte erwartet und Benutzer & Gruppen. Dann gibt es aber noch Client-Authentifizierung und Authentifizierungsserver.
Die ASG habe ich der Domäne beigefügt. Das habe ich gefunden.

Wenn ich dann die User oder besser die Gruppen ausgelesen habe, was muß ich dann im Web-Security machen?
Hier möchte ich dann regeln, daß z.B. die Gruppe Internet-Einkauf nur auf Einkaufseiten zugreifen kann (Kategorie Online-Shopping)

Könnt ihr mir hier mal einen Denklanstoß geben?

Danke schon mal !!!!


This thread was automatically locked due to age.
  • 0
    Klar: Hilfe lesen :-). (..Achtung - kleiner Scherz..)

    Das ist jetzt keine Frage die man vollständig in einem Post beantworten kann - hier ein paar Eckpunkte:

    - Du legst die Gruppen im AD an und packst Mitglieder rein
    - in User&Gruppen neue Gruppe anlegen, Backend Membership wählen, gewünschte AD Gruppe aussuchen
    - Filter Action anlegen, Filter assignment anlegen und die Backendgruppe zuordnen, Proxy profil anlegen und dort die Filter assignments zuordnen und AD SSO als Modus wählen

    Wenn du bisher noch nicht mit Proxy Profilen gearbeitet hast, solltest du dir das wirklich gut anlesen - ist sehr flexibel und man muss das Prinzip verstanden haben.

    Gruß
    Manfred
  • 0 in reply to Hallowach2
    Danke für die Infos.

    Aber ich muß hier zuerst einen Auth Server anlegen. Und hier bekomme ich trotz korrekter Angaben diesen Fehler:

    Error: Server exists and accepts connections, but bind to ldap://192.168.100.3:389 failed with this Bind DN and Password

    Bei Bind-DN habe ich das hier gemäß Hilfe eingetragen:
    CN=ldap,​CN=users,DC=meineDomäne,DC=local
  • 0 in reply to Akcent
    hab was gefunden.
    Die Hilfe scheint hier falsch zu sein.

    Wenn ich unter Bind-DN das so eingeben, dann kann ich auf das AD zugreifen.
    MeinUserName@Domäne.Suffix

    Mache mich nun mal an die Profile
  • 0 in reply to Akcent

    Error: Server exists and accepts connections, but bind to ldap://192.168.100.3:389 failed with this Bind DN and Password

    Bei Bind-DN habe ich das hier gemäß Hilfe eingetragen:
    CN=ldap,​CN=users,DC=meineDomäne,DC=local


    Leg doch mal eine OU user an, schieb den User da rein  und versuchs mit

    CN=ldap,​OU=user,DC=meineDomäne,DC=local

    damit hats dann bei mir funtioniert.

    Das gleiche Problem hatte ich auch bei einem Apache mit LDAP/AD-Anbindung. Irgendwie haben manche LDAP-Versionen Probleme mit Bind-DN in die AD-Sytemfolder
  • 0 in reply to papa__01
    das habe ich auch schon versucht.
    die CN=users ist ja eine Standard AD Gruppe.

    Auch habe ich eine neue Gruppe AdminKonten angelegt und den User ldap dort hin verschoben. Ging auch nicht. Aber über ldap@meinedomäne.local dann direkt.
  • 0
    funktioniert OU= in neueren ASgs? Zumindest bei älteren ASGs waren in meiner Erinnerung nur CN und DC supportet, OU hat immer Probleme gemacht.

    Wer Schreibfehler findet, darf sie behalten. Wenn ich via IPad poste, sind Verschreiber und grammatikalische Aussetzer irgendwie an der Tagesordnung.
  • 0
    Ach ja, und das ganze ist glaub noch case sensitiv. Damit müsste users wohl Users heissen vermute ich mal...ich habs jetzt nicht extra nachgeprüft, aber so hab ichs zumindest in Erinnerung...

    Wer Schreibfehler findet, darf sie behalten. Wenn ich via IPad poste, sind Verschreiber und grammatikalische Aussetzer irgendwie an der Tagesordnung.
Unfiltered HTML