Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Benutzer aus AD auslesen

Hallo,

ich suche mir gerade den Wolf oder sehe vor lauter Bäumen den Wald nicht.

Momentan surfen die User im Standard-Mode.

Nun möchte ich im AD Gruppen anlegen (z.B Internetzugriff Allgemein, Internetzugriff Einkauf, Internetzugriff Finanzseiten....), diese dann auslesen, so daß ich mit diesen auch in der ASG arbeiten kann. Aber wo kann ich das angeben. Irgendwie gibt es verschiedene Stellen die evtl in Betracht kommen. Ich hätte erwartet und Benutzer & Gruppen. Dann gibt es aber noch Client-Authentifizierung und Authentifizierungsserver.
Die ASG habe ich der Domäne beigefügt. Das habe ich gefunden.

Wenn ich dann die User oder besser die Gruppen ausgelesen habe, was muß ich dann im Web-Security machen?
Hier möchte ich dann regeln, daß z.B. die Gruppe Internet-Einkauf nur auf Einkaufseiten zugreifen kann (Kategorie Online-Shopping)

Könnt ihr mir hier mal einen Denklanstoß geben?

Danke schon mal !!!!


This thread was automatically locked due to age.
Parents
  • Klar: Hilfe lesen :-). (..Achtung - kleiner Scherz..)

    Das ist jetzt keine Frage die man vollständig in einem Post beantworten kann - hier ein paar Eckpunkte:

    - Du legst die Gruppen im AD an und packst Mitglieder rein
    - in User&Gruppen neue Gruppe anlegen, Backend Membership wählen, gewünschte AD Gruppe aussuchen
    - Filter Action anlegen, Filter assignment anlegen und die Backendgruppe zuordnen, Proxy profil anlegen und dort die Filter assignments zuordnen und AD SSO als Modus wählen

    Wenn du bisher noch nicht mit Proxy Profilen gearbeitet hast, solltest du dir das wirklich gut anlesen - ist sehr flexibel und man muss das Prinzip verstanden haben.

    Gruß
    Manfred
  • Danke für die Infos.

    Aber ich muß hier zuerst einen Auth Server anlegen. Und hier bekomme ich trotz korrekter Angaben diesen Fehler:

    Error: Server exists and accepts connections, but bind to ldap://192.168.100.3:389 failed with this Bind DN and Password

    Bei Bind-DN habe ich das hier gemäß Hilfe eingetragen:
    CN=ldap,​CN=users,DC=meineDomäne,DC=local
Reply
  • Danke für die Infos.

    Aber ich muß hier zuerst einen Auth Server anlegen. Und hier bekomme ich trotz korrekter Angaben diesen Fehler:

    Error: Server exists and accepts connections, but bind to ldap://192.168.100.3:389 failed with this Bind DN and Password

    Bei Bind-DN habe ich das hier gemäß Hilfe eingetragen:
    CN=ldap,​CN=users,DC=meineDomäne,DC=local
Children
  • hab was gefunden.
    Die Hilfe scheint hier falsch zu sein.

    Wenn ich unter Bind-DN das so eingeben, dann kann ich auf das AD zugreifen.
    MeinUserName@Domäne.Suffix

    Mache mich nun mal an die Profile

  • Error: Server exists and accepts connections, but bind to ldap://192.168.100.3:389 failed with this Bind DN and Password

    Bei Bind-DN habe ich das hier gemäß Hilfe eingetragen:
    CN=ldap,​CN=users,DC=meineDomäne,DC=local


    Leg doch mal eine OU user an, schieb den User da rein  und versuchs mit

    CN=ldap,​OU=user,DC=meineDomäne,DC=local

    damit hats dann bei mir funtioniert.

    Das gleiche Problem hatte ich auch bei einem Apache mit LDAP/AD-Anbindung. Irgendwie haben manche LDAP-Versionen Probleme mit Bind-DN in die AD-Sytemfolder
  • das habe ich auch schon versucht.
    die CN=users ist ja eine Standard AD Gruppe.

    Auch habe ich eine neue Gruppe AdminKonten angelegt und den User ldap dort hin verschoben. Ging auch nicht. Aber über ldap@meinedomäne.local dann direkt.