Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 11 replies
  • Subscribers 25 subscribers
  • Views 9684 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

End User Portal: Authentifizierung per Active Directory nicht möglich

Philipp B.
Hallo Forumsgemeinde,

ich will unseren Außendienstlern ermöglich sich per SSL-VPN ins Firmen-LAN einzuwählen - die Authentifizierungsinformationen sollen allerdings direkt aus unserem ActiveDirectory (Server 2003) geholt werden. Sollte doch funktionieren oder?

Allerdings scheitert's bei mir schon beim einfachen einloggen in das End-User-Portal mit einem AD-user.
Ich hatte eigentlich vor, dass es im ActiveDirectory eine Gruppe gibt, welche sich
a) im End-User-Portal einloggen kann um den SSL-VPN-Client runterladen zu können
und b) sich per SSL-VPN einwählen darf

Ich bin wie folgt vorgegangen:

Domain Authentifizierung:
Das ASG ist in die Windows-Domäne angebunden (Users > Authentication > Active Directory), unter "Test Settings" ist ein Anmelde-Test auch erfolgreich.

Dann habe ich eine neue Gruppe angelegt (Typ: Backend Membership, Backend: AD) und eine bestimmte CN im ADs ausgewählt.

Letzter Schritt: 
Unter "Management > User Portal" ist die o.g. Gruppe bei "Allowed User" eingetragen. Das Firmen-LAN ist als allowed network eingetragen.

Das Problem:
Logged sich ein User ins End-User-Portal ein, welcher im ActiveDirectory Mitglied ist, bekommt er die Meldung 
"Ungültiger Benutzername/Passwort oder Zugang verweigert aufgrund einer internen Vorgabe".
Ob das SSL-VPN klappt habe ich noch gar nicht getestet...

Habe ich irgendwo einen schwerwiegenden Denkfehler drin?
Ich hoffe ich konnte das Problem einigermaßen rüberbringen - vielleicht stand der ein oder andere auch schon mal vor diesem Problem

Gruß
Philipp


This thread was automatically locked due to age.
Parents
  • 0
    Hallo Philipp,

    also zum einen sollte bei Allowed Networks vom User Protal glaube ich Any stehen, sonst ist es von "Außen" nicht erreichbar. Dann solltest du bei Users-->Authentication-->"Automatic user creation for facilities" den Hacken bei End-User Portal setzten, so kannste später deine Packet filter User spezifisch anlegen. Und dann kann es noch daran liegen, dass deine userguppe die auf die cn zugreift falsch ist. Da bin ich auch drüber gestolpert. bei mir legt er: CN=Domänen-Benutzer,CN=Users,DC=rab,DC=local an, heißen muss es aber: Domänen-Benutzer. klicke einfach doppelt auf den Eintrag in der Gruppe und lösche alles davor und danach.

    Gruß Susi
Reply
  • 0
    Hallo Philipp,

    also zum einen sollte bei Allowed Networks vom User Protal glaube ich Any stehen, sonst ist es von "Außen" nicht erreichbar. Dann solltest du bei Users-->Authentication-->"Automatic user creation for facilities" den Hacken bei End-User Portal setzten, so kannste später deine Packet filter User spezifisch anlegen. Und dann kann es noch daran liegen, dass deine userguppe die auf die cn zugreift falsch ist. Da bin ich auch drüber gestolpert. bei mir legt er: CN=Domänen-Benutzer,CN=Users,DC=rab,DC=local an, heißen muss es aber: Domänen-Benutzer. klicke einfach doppelt auf den Eintrag in der Gruppe und lösche alles davor und danach.

    Gruß Susi
Children
No Data
Unfiltered HTML