Аутентификация LDAP для SonicWALL VPN

10

Я пытаюсь настроить свой SonicWALL, чтобы разрешить аутентификацию LDAP для пользователей VPN. Я делал это раньше с другим устройством, и я помню, что это было довольно просто. Но я не могу заставить его работать на этот раз ради моей жизни.

Когда я включаю режим «LDAP + Локальные пользователи», ввожу информацию о сервере LDAP и имена групп AD, я постоянно получаю либо ошибки «Ошибка аутентификации LDAP», либо «Учетные данные недействительны на сервере LDAP». Я пробовал все варианты изменений настроек, которые имеют для меня смысл, с одинаковыми результатами. Поддержка SonicWALL пока абсолютно не помогает. Я следовал инструкциям их руководства к T, без решения.

У кого-нибудь здесь была такая же ситуация? Я чувствую, что где-то пропущу настройку ...

vpn authentication ldap sonicwall colemanm
источник

Ответы:

15

Это может быть небольшим утешением, но это работает для нас. Сервер является Windows Server 2003 R2, а SonicWALL имеет SonicOS Enhanced 4.2.0.1-12e.

Вот настройки:

  • Метод аутентификации для входа в систему: LDAP + Local Users
  • Вкладка «Сервер LDAP»:
    • Выбрал «Дай связать отличительное имя»
    • Привязать отличительное имя: sonicwall_ldap@OURDOMAIN.local(пользователь, которого мы создали, чтобы SonicWALL мог читать LDAP)
    • Использовать TLS (SSL) проверено
      • Отправить запрос LDAP 'Start TLS': проверено
      • Требуется действительный сертификат с сервера: не проверено (мы используем самозаверяющий сертификат)
      • Локальный сертификат для TLS: Нет
  • Не настроил RADIUS как запасной вариант.

Теперь, прежде чем ваши логины будут работать, вы должны перейти на вкладку Каталог и нажать «Автоконфигурация». Если автоконфигурация не удалась, убедитесь, что имя пользователя и пароль LDAP SonicWALL (например sonicwall_ldap@OURDOMAIN.local) верны.

После выполнения автоматической настройки убедитесь, что в разделе «Деревья, содержащие группы пользователей:» есть раздел дерева AD, в котором есть пользователи, которые будут входить в систему. После этого на вкладке «Тест» вы сможете выполнить тестирование с помощью:

  • Пользователь: username( Примечание: ** имя домена AD не должно ** включаться в имя пользователя, поскольку SonicWALL будет искать контексты пользователя, указанные на вкладке Каталог).
  • Пароль: (их пароль)
Nate
источник
Вы дали какие-то особые права / группы пользователю sonicwall_ldap?
Кара Марфия
Нет. Он является постоянным участником домена. (Да, мне, вероятно, следует удалить это членство и заменить его чем-то более ограничительным, что позволяет работать только LDAP.)
Nate
Хорошо описано! Отличный ответ!
Geoffc
Хм ... когда я вхожу в настройки, которые у вас есть, я все равно получаю сообщение "Ошибка аутентификации LDAP", когда я запускаю тестовый вход Все выглядит правильно. Когда я перехожу на вкладку «Каталог» и автоматически настраиваюсь, все деревья заполняются правильно, это просто тест, который продолжает проваливаться.
Коулманм
3
Я разобрался в проблеме, и поэтому чувствую себя идиотом. Вы знаете этот флажок в основной области пользовательских настроек, который гласит «Чувствительные к регистру имена пользователей»? Ну, это было проверено. Я не проверял и все работает сейчас. Проблема в том, что когда кто-то изначально настраивал AD, учетные записи пользователей были написаны в формате «John.Doe», я тестировал с «john.doe». Новые учетные записи, которые я создал, я сделал все строчными, поэтому они работали. Чувствительность к регистру никогда не имеет значения при использовании аутентификации AD / Windows, но, безусловно, имеет значение с сырым LDAP. Спасибо всем.
Колман