Аутентифікація LDAP для SonicWALL VPN

10

Я намагаюся налаштувати свій SonicWALL, щоб дозволити автентифікацію LDAP для користувачів VPN. Я робив це раніше з іншим пристроєм, і я пам’ятаю, що це було досить просто. Але я не можу змусити цього разу працювати на все життя.

Коли я вмикаю режим "LDAP + Місцеві користувачі", вводя інформацію про сервер LDAP та назви груп AD, я постійно отримую помилки "Помилка автентифікації LDAP" або "Повноважні дані не вірні на сервері LDAP". Я спробував усі різні перестановки налаштувань, які мають для мене сенс, з однаковими результатами. Підтримка SonicWALL поки що абсолютно не допомагає. Я дотримувався їх інструкцій до Т, не маючи рішення.

Хтось тут мав таку саму ситуацію? Я відчуваю, що десь пропускаю налаштування ...

vpn  authentication  ldap  sonicwall 
колеманм
джерело

Відповіді:

15

Це може бути невеликим комфортом, але це працює для нас. Сервер - Windows Server 2003 R2, а SonicWALL має SonicOS Enhanced 4.2.0.1-12e.

Ось налаштування:

  • Метод аутентифікації для входу: LDAP + Місцеві користувачі
  • Вкладка Сервер LDAP:
    • Оберіть "Назвіть визначне ім'я"
    • Призначте відмінне ім’я: sonicwall_ldap@OURDOMAIN.local(користувач, якого ми створили, щоб SonicWALL читав LDAP)
    • Використовуйте прапорець TLS (SSL)
      • Надіслати запит LDAP "Пуск TLS": відмічено
      • Потрібен дійсний сертифікат від сервера: не встановлено прапорець (ми використовуємо самопідписаний сертифікат)
      • Місцевий сертифікат на TLS: Ні
  • Не налаштовано RADIUS як резервний.

Тепер, перш ніж ваші входи працюватимуть, вам потрібно перейти на вкладку Каталог та натиснути «Автоконфігурувати». Якщо автоматична конфігурація не вдається, переконайтесь, що ім'я та пароль LDAP SonicWALL (наприклад sonicwall_ldap@OURDOMAIN.local) є правильними.

Після автоматичної конфігурації переконайтесь, що "Дерева, що містять групи користувачів", містить розділ дерева AD, який містить користувачів, які будуть входити в систему. Після цього на вкладці "Тест" ви зможете протестувати за допомогою:

  • Користувач: username( Примітка. ** Ім'я домену AD не повинно бути включене до імені користувача, оскільки SonicWALL буде шукати контексти користувачів, які були вказані на вкладці Каталог).
  • Пароль: (їх пароль)
Нейт
джерело
Чи надавали ви якісь спеціальні права / групи користувачеві sonicwall_ldap?
Кара Марфія
Ні. Це постійний член Користувачів домену. (Так, я, мабуть, повинен видалити це членство і замінити його чимось більш обмежуючим, що дозволяє лише LDAP працювати.)
Nate
Добре описано! Чудова відповідь!
geoffc
Хм ... коли я ввожу налаштування, які у вас є, я все одно отримую "Не вдалося підтвердити автентифікацію LDAP", коли запускаю тестовий логін. Все виглядає правильно. Коли я переходжу на вкладку "Каталог" і автоматично налаштовую, дерева все заповнюються правильно, це просто тест, який не вдається.
colemanm
3
Я розібрався в проблемі, і, отже, відчуваю себе ідіотом. Ви знаєте, що прапорець у головній області налаштувань користувача містить "Іменні регістри користувачів"? Добре, що перевіряли. Я не перевірив, і зараз все працює. Проблема полягає в тому, що коли хтось спочатку налаштовував AD, облікові записи користувачів писалися у форматі "John.Doe", я тестував "john.doe". У нових облікових записах, які я створив, я зробив усі літери, і тому вони працювали. Чутливість до справ ніколи не має значення при використанні автентифікації AD / Windows, але, безумовно, це стосується і необробленого LDAP. Дякую всім.
colemanm
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.