Uwierzytelnianie LDAP dla SonicWALL VPN

10

Próbuję skonfigurować mój SonicWALL, aby umożliwić uwierzytelnianie LDAP dla użytkowników VPN. Zrobiłem to wcześniej z innym urządzeniem i pamiętam, że było to dość proste. Ale tym razem nie mogę zmusić go do działania.

Po włączeniu trybu „Użytkownicy lokalni LDAP +”, wprowadzam informacje o serwerze LDAP i nazwy grup AD, ciągle pojawiają się błędy „Nieudane uwierzytelnienie LDAP” lub „Nieprawidłowe poświadczenia na serwerze LDAP”. Wypróbowałem wszystkie różne kombinacje ustawień, które mają dla mnie sens, z tymi samymi wynikami. Wsparcie SonicWALL do tej pory absolutnie nie pomaga. Postępowałem zgodnie z instrukcjami zawartymi w ich instrukcji do T, bez rozwiązania.

Czy ktoś tutaj miał taką samą sytuację? Czuję, że brakuje mi gdzieś ustawienia ...

colemanm
źródło

Odpowiedzi:

15

Może to być niewielki komfort, ale działa dla nas. Serwer to Windows Server 2003 R2, a SonicWALL ma SonicOS Enhanced 4.2.0.1-12e.

Oto ustawienia:

  • Metoda uwierzytelniania przy logowaniu: LDAP + Użytkownicy lokalni
  • Karta Serwer LDAP:
    • Wybierz „Nadaj wiążącą nazwę wyróżniającą”
    • Wiąż nazwę wyróżniającą: [email protected](utworzonego przez nas użytkownika, aby umożliwić SonicWALL odczytanie LDAP)
    • Użyj zaznaczonego TLS (SSL)
      • Wyślij żądanie „Rozpocznij TLS” LDAP: zaznaczone
      • Wymagaj ważnego certyfikatu z serwera: niezaznaczone (korzystamy z certyfikatu z podpisem własnym)
      • Lokalny certyfikat dla TLS: Brak
  • Nie skonfigurowano usługi RADIUS jako rezerwowej.

Teraz, zanim twoje logowanie zadziała, musisz przejść do karty Katalog i kliknąć „Automatyczna konfiguracja”. Jeśli automatyczna konfiguracja nie powiedzie się, upewnij się, że nazwa użytkownika i hasło LDAP SonicWALL (np. [email protected]) Są prawidłowe.

Po wykonaniu automatycznej konfiguracji upewnij się, że „Drzewa zawierające grupy użytkowników:” zawierają sekcję drzewa AD, w której znajdują się użytkownicy, którzy będą się logować. Gdy to zrobisz, na karcie „Test” powinieneś być w stanie przetestować za pomocą:

  • Użytkownik: username( Uwaga: ** nazwa domeny AD ** nie powinna być zawarta w nazwie użytkownika, ponieważ SonicWALL przeszuka konteksty użytkownika określone na karcie Katalog).
  • Hasło: (ich hasło)
Nate
źródło
Czy dałeś jakieś specjalne prawa / grupy użytkownikowi sonicwall_ldap?
Kara Marfia,
Nie. Jest stałym członkiem użytkowników domeny. (Tak, prawdopodobnie powinienem usunąć to członkostwo i zastąpić je czymś bardziej restrykcyjnym, co pozwala tylko LDAP na działanie.)
Nate
Dobrze opisane! Świetna odpowiedź!
geoffc
Hmm ... kiedy wprowadzę wprowadzone ustawienia, nadal pojawia się komunikat „Nieudane uwierzytelnienie LDAP” po uruchomieniu logowania testowego. Wszystko wygląda poprawnie. Kiedy przechodzę do zakładki Katalog i dokonuję automatycznej konfiguracji, wszystkie drzewa wypełniają się poprawnie, to tylko test, który ciągle zawodzi.
colemanm
3
Zrozumiałem problem i w rezultacie czuję się jak idiota. Czy znasz to pole wyboru w głównym obszarze Ustawień użytkownika, które mówi „W nazwach użytkowników rozróżniana jest wielkość liter”? Cóż, to zostało sprawdzone. Odznaczam i rzeczy działają teraz. Problem polega na tym, że kiedy ktoś początkowo konfigurował AD, konta użytkowników były zapisywane w formacie „John.Doe”, testowałem z „jan.doe”. Nowsze konta, które utworzyłem, pisałem małymi literami i dlatego działały. Rozróżnianie wielkości liter nigdy nie ma znaczenia podczas korzystania z uwierzytelniania AD / Windows, ale z pewnością ma to miejsce w przypadku surowego LDAP. Dziękuję wszystkim.
colemanm