Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 8 replies
  • Subscribers 1 subscriber
  • Views 9026 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Zugriff auf Active Directory

Jörg Mittendorf
Hallo,

Die Firewall wurde korrekt in der Domäne aufgenommen. Ich habe die Firewall erfolgreich mit dem Active Directory verbunden  (Users - Authenfication - Servers - Edit Server - Test server settings) 

Wenn ich unterhalb Base DN einen User mit Password eintrage, wird er authentifiziert hat aber keine Gruppenzugehörigkeit.

Zusätzlich habe ich noch eine Gruppe Active Directory Users angelegt, Domänen User aus dem AD kann ich in die Gruppe hinzufügen.

Über Management - WebAdmin Settings - General - Allowed Administrators habe ich zusätzlich die Gruppe Active Directory Users hinzugefügt.

Trotz diesen Einstellungen kann sich kein AD Benutzer an der Firewall anmelden.

Hat jemand eine Idee, wo ich noch etwas einstellen muss?

Gruß Jörg


This thread was automatically locked due to age.
Parents
  • 0
    Hallo Jörg,

    hat denn der User der oberhalb des Test Server Settings Button eingetragen ist im AD die Berechtigung die Gruppenzugehörigkeit auszulesen? Und liegen die Gruppenobjekte und die User im AD unterhalb der mit dem unterhalb des Test Server Settings Button Bind DN angegebenen Stelle im AD?

    Gruß
    Manfred
Reply
  • 0
    Hallo Jörg,

    hat denn der User der oberhalb des Test Server Settings Button eingetragen ist im AD die Berechtigung die Gruppenzugehörigkeit auszulesen? Und liegen die Gruppenobjekte und die User im AD unterhalb der mit dem unterhalb des Test Server Settings Button Bind DN angegebenen Stelle im AD?

    Gruß
    Manfred
Children
  • 0 in reply to Hallowach2
    Hallo Manfred,


    ...hat denn der User der oberhalb des Test Server Settings Button eingetragen ist im AD die Berechtigung die Gruppenzugehörigkeit auszulesen?
    ...


    Ja der User hat die Berechtigung im AD die Gruppenzugehörigkeit auszulesen.


    ...
    Und liegen die Gruppenobjekte und die User im AD unterhalb der mit dem unterhalb des Test Server Settings Button Bind DN angegebenen Stelle im AD?
    ...


    Ja.

    Wenn ich unterhalb von Base DN einen User mit Password eingebe, dann bekomme ich die Meldung im Anhang. Die User authentication scheint zu klappen, nur keine Gruppen für den User. 

    Gruß Jörg
  • 0 in reply to Jörg Mittendorf
    Und für die fragliche AD Gruppe hast du unter Users->Groups eine Backendmembership Gruppe angelegt mit dem Haken bei 'Limit to Backend...' und dort die AD Gruppe der ASG Gruppe hinzugefügt (mach mal bitte ein Bild von dem AD Screen der da auf der ASG geöffnet wird wo du die AD User&Gruppen auswählen kannst) und die AD User sind auch Mitglieder dieser AD Gruppe?

    Steht etwas im Logfile der ASG (User authentication daemon)?

    Gruß
    Manfred
  • 0 in reply to Hallowach2

    Und für die fragliche AD Gruppe hast du unter Users->Groups eine Backendmembership Gruppe angelegt mit dem Haken bei 'Limit to Backend...' 


    Die Gruppe habe ich angelegt, und auch mit dem Haken bei 'Limit to Backend...



    ... und dort die AD Gruppe der ASG Gruppe hinzugefügt...


    Ich kann dort keine Gruppe aus dem AD hinzufügen, nur einzelne User aus dem AD.


    Steht etwas im Logfile der ASG (User authentication daemon)?


    2011:01:27-08:05:42 firewall-1 aua[10819]: id="3006" severity="info" sys="System" sub="auth" name="Trying  (adirectory)"
    2011:01:27-08:05:42 firewall-1 aua[10819]: id="3006" severity="info" sys="System" sub="auth" name="Authentication test successfull"
    2011:01:27-08:05:55 firewall-1 aua[10827]: id="3006" severity="info" sys="System" sub="auth" name="Trying  (adirectory)"
    2011:01:27-08:05:55 firewall-1 aua[10827]: id="3004" severity="info" sys="System" sub="auth" name="Authentication successful" srcip="" user="" caller="webadmin" engine="adirectory"

    Zeile 1 und 2
    Dies war der Test unter Users - Authentication - Servers - Edit Server
    Zeile 3 und 4
    Anmeldung über das Web-Interface mit einem AD-User.

     = User aus dem AD
     = Source-IP-Adresse bzw. Server-IP-Adresse des AD

    Gruß Jörg
  • 0 in reply to Jörg Mittendorf
    Moin,

    kannst du mir bitte mal mitteilen, was du bei BASE-DN eingetragen hast?
    Folgende Überlegung:
    Meine Base-DN sieht folgendermaßen aus:  
    OU=OE,DC=FIRMA,DC=DE

    In der Organisationseinheit OE befinden sich alle relevanten Objekte. Ich glaube, dass deine Base-DN zuweit geht. Soll heißen: Du gehst mit deiner Base-DN schon in den Users Pfad und unterhalb von diesen sind evtl keine Grußßen vorhanden. 
    Schau doch mal bitte wo bei dir im AD die Gruppen liegen und ob dein Base-DN nicht schon zu weit geht, sondern einfach einen Eintrag früher aufhören müsste.

    Grüße

    der Schroeder
  • 0 in reply to Schroeder
    Moin,

    kannst du mir bitte mal mitteilen, was du bei BASE-DN eingetragen hast?
    Folgende Überlegung:
    Meine Base-DN sieht folgendermaßen aus:  
    OU=OE,DC=FIRMA,DC=DE

    In der Organisationseinheit OE befinden sich alle relevanten Objekte. Ich glaube, dass deine Base-DN zuweit geht. Soll heißen: Du gehst mit deiner Base-DN schon in den Users Pfad und unterhalb von diesen sind evtl keine Grußßen vorhanden. 
    Schau doch mal bitte wo bei dir im AD die Gruppen liegen und ob dein Base-DN nicht schon zu weit geht, sondern einfach einen Eintrag früher aufhören müsste.

    Grüße

    der Schroeder


    Hallo Schroeder,

    der Tipp war genau richtig, mein Base-DN ging zu weit, ich habe es jetzt angepasst, es funktioniert.
    Danke noch einmal.

    Gruß Jörg
  • 0 in reply to Jörg Mittendorf
    Hallo Schroeder,

    der Tipp war genau richtig, mein Base-DN ging zu weit, ich habe es jetzt angepasst, es funktioniert.
    Danke noch einmal.

    Gruß Jörg


    Hehe,

    freut mich das ich helfen konnte.

    Grüße

    der Schroeder
  • 0 in reply to Schroeder
    Hi Jörg,

    schön das es jetzt klappt.

    Ich muß dringend an meinen Formulierkünsten arbeiten ... das habe ich im Post 2 gemeint (aber Base und Bind gewürfelt..).

    Gruß
    Manfred