Guest User!

You are not Sophos Staff.

Thread Info
  • State Suggested Answer
  • Locked Locked
  • Replies 10 replies
  • Answers 1 answer
  • Subscribers 4 subscribers
  • Views 2685 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Sophos UTM AD Authentication Probleme

Benjamin Rommel

Hallo,

ich habe seit einiger Zeit unsere Sophos an die AD angebunden. Die Benutzer werden ohne Probleme angelegt usw. Leider funktioniert die Synchronisierung der Passwörter nicht korrekt. Ich kann mich mit den Passwörter aus der AD nicht am Benutzerportal anmelden. Lege ich ein lokales Kennwort fest funktioniert dies sofort.

Auch das Auslesen eine Gruppe VPN-Benutzer aus dem AD funktioniert nicht korrekt. Füge ich die Benutzer manuell und einzeln unter Fernzugriff SSL als Benutzer hinzu taucht der Punkt Fernzugriff im Benutzerportal auf.

Wo liegt hier das Problem?

MfG

berootale



This thread was automatically locked due to age.
  • 0

    have you tried this?.

    First of all, be sure you have given permission to access the SSL with active directory users:



    1. To evade problems, try searching the path automaticaly, and then select it. It will solve the possible problems in the gramar.


    Select the path here..


    Then be sure, opening the live registry, that you can pre download the users. If this fails then the communication with the collector is not ok.

    If this is not working, you need to check the STAS configuration in the firewall and the server.

    In the firewall you need to go here:


    In the server, the STAS APP.


  • 0

    Hallo,

    ich denke, das meiste hast du richtig gemacht.

    Ich würde vermuten/hoffe, dass der Serviceaccount zum Auslesen der Nutzer/Gruppen kein Adminaccount ist.

    Gruppenmitgliedschaften hängen aber als Objekt am Nutzer und andere "Nutzer" dürfen das nicht lesen.

    Hier ist im AD das Recht zum Lesen von Gruppenmitgliegschaften für den Serviceaccount zu vergeben.

    Bei Bedarf kann ich heraussuchen, wie das geht.

    Die Hinweise von Christian Koschmieder sind ziemlich gut, einige Punkte würde ich aber anders machen:

    Punkt0:

    - ich vergebe VPN-Rechte nur für die Nutzer/Nutzergruppe, die es benötigt

    - niemals automatische Firewall-Regeln (diese direkt unter FW-Rules einzurichten ist simpel und das Ergebnis granularer)

    Punkt1 und folgendes:

    - mache ich auch so

     

     


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

  • 0 in reply to dirkkotte

    Good points

    "Punkt0:

    - ich vergebe VPN-Rechte nur für die Nutzer/Nutzergruppe, die es benötigt

    - niemals automatische Firewall-Regeln (diese direkt unter FW-Rules einzurichten ist simpel und das Ergebnis granularer)

    Punkt1 und folgendes:

    - mache ich auch so"

  • 0 in reply to dirkkotte

    Scheint an den Berechtigungen zu liegen. Mit dem Administrator funktioniert es.

     

    dirkkotte said:

     

    Hier ist im AD das Recht zum Lesen von Gruppenmitgliegschaften für den Serviceaccount zu vergeben.

    Bei Bedarf kann ich heraussuchen, wie das geht.

     

    Das wäre klasse.

    Gruß

    berootale

  • 0 in reply to Benjamin Rommel

    dsacls OU=Employees,OU=Accounts,DC=de,DC=testdomain,DC=corp /I:S /G domain\utmldap:RP; MemberOf;user

    Erläuterung:

    OU=Employees,OU=Accounts,DC=de,DC=testdomain,DC=corp  ## hier muss die Stelle im AD ab wo dieses Recht vergeben werden soll

    /G domain\utmldap ## der Service-Account

    Ist per GUI auch möglich, aber schwer zu erklären.


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

  • 0 in reply to dirkkotte

    Hallo danke für die Antwort. Leider habe ich weiterhin Probleme bei der Synchronisierung. Die Benutzer können sich teilweise nicht mit dem Passwort aus der AD anmelden.

  • 0 in reply to Benjamin Rommel

    Was sagt der Authentifizierungs-Test im Bereich AD-Authentifizierung?

    Wird die Gruppenzugehörigkeit erkannt?


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

  • 0 in reply to dirkkotte

    Der Test funktioniert ohne Probleme.

    Die Gruppenzuordnung hat gestern funktioniert nachdem ich die Anbindung über den Administrstor neu durchgeführt habe. Heute funktioniert es anscheinend nicht mehr.

    Gruß

    Berootale

  • 0 in reply to Benjamin Rommel

    Wie sieht der Fehler aus?

    Ist gar keine AD Authentifizierung mehr möglich, oder nur die Gruppenauflösung?

    Für einen oder mehrere AD-Anbindungen?

    Irgendwelche Meldungen?


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

  • 0 in reply to dirkkotte

    Ich habe heute morgen einen Benutzer in die Gruppe VPN-Benutzer im AD gepackt und manuell synchronisiert. Der Benutzer konnte sich anmelden und Fernzugriff wurde angezeigt.

     Manchmal funktioniert es und manchmal nicht. 

     

    2020:03:19-10:55:28 utm-2 user_prefetch[27193]: Connecting to ldap server
    2020:03:19-10:55:28 utm-2 user_prefetch[27193]: ldap server: ldap://ipdesservers:389
    2020:03:19-10:55:28 utm-2 user_prefetch[27193]: Context 'CN=VPN_Benutzer,OU=WMK,DC=domain,DC=local' is a group. Adding group members:
    2020:03:19-10:55:28 utm-2 user_prefetch[27193]: CN=Fröhlich\, Julia,OU=FB 4,OU=Benutzer,OU=.......,DC=domain,DC=local
     
     
    2020:03:19-10:55:28 utm-2 user_prefetch[27193]: Performing ldap search:
    2020:03:19-10:55:28 utm-2 user_prefetch[27193]: searching 'CN=Fröhlich\, Julia,OU=FB 4,OU=Benutzer,OU=.....,DC=domain,DC=local'
     
    2020:03:19-10:55:28 utm-2 user_prefetch[27193]: Ldap search returned 7 users
    2020:03:19-10:55:28 utm-2 user_prefetch[27193]: Search time: 0m 0s
     
    2020:03:19-10:55:28 utm-2 user_prefetch[27193]: Adding/updating users
    2020:03:19-10:55:28 utm-2 user_prefetch[27193]: ------------------------------------------------------------
    2020:03:19-10:55:28 utm-2 user_prefetch[27193]: # 1 User .... is locally authenticated. Skipping.
    2020:03:19-10:55:28 utm-2 user_prefetch[27193]: # 2 Updating user FroehlichJ
    2020:03:19-10:55:28 utm-2 user_prefetch[27193]: # 3 User ..... is locally authenticated. Skipping.
    2020:03:19-10:55:28 utm-2 user_prefetch[27193]: # 4 Updating user....
    2020:03:19-10:55:29 utm-2 user_prefetch[27193]: # 5 User ..... is locally authenticated. Skipping.
    2020:03:19-10:55:29 utm-2 user_prefetch[27193]: # 6 Updating user ....
    2020:03:19-10:55:29 utm-2 user_prefetch[27193]: # 7 User ..... is locally authenticated. Skipping.
    2020:03:19-10:55:29 utm-2 user_prefetch[27193]: 7 user objects were found:
    2020:03:19-10:55:29 utm-2 user_prefetch[27193]: 0 users were created
    2020:03:19-10:55:29 utm-2 user_prefetch[27193]: 3 users were updated
    2020:03:19-10:55:29 utm-2 user_prefetch[27193]: 4 users are authenticated locally.
    2020:03:19-10:55:29 utm-2 user_prefetch[27193]: Overall time: 0m 1s
     
    Anmeldung mit dem User FroehlichJ ohne Erfolg.
     
    Mit festem Passwort funktioniert es. Leider keine Gruppenerkennung. Fernzugriff fehlt.
     
     
     
     
Unfiltered HTML