LDAP-Authentifizierung für SonicWALL VPN

10

Ich versuche, meine SonicWALL so zu konfigurieren, dass die LDAP-Authentifizierung für VPN-Benutzer möglich ist. Ich habe das schon einmal mit einem anderen Gerät gemacht und erinnere mich, dass es ziemlich einfach war. Aber ich kann es diesmal nicht für mein Leben zum Laufen bringen.

Wenn ich den Modus "LDAP + Lokale Benutzer" aktiviere, die LDAP-Serverinformationen und AD-Gruppennamen eingebe, erhalte ich ständig die Fehler "LDAP-Authentifizierung fehlgeschlagen" oder "Anmeldeinformationen auf LDAP-Server nicht gültig". Ich habe alle verschiedenen Permutationen von Einstellungen ausprobiert, die für mich sinnvoll sind, mit den gleichen Ergebnissen. SonicWALL-Unterstützung ist bisher absolut keine Hilfe. Ich habe die Anweisungen ihres Handbuchs zu einem T ohne Lösung befolgt.

Hat hier jemand die gleiche Situation gehabt? Ich habe das Gefühl, dass mir irgendwo eine Einstellung fehlt ...

vpn  authentication  ldap  sonicwall 
Coleman
quelle

Antworten:

15

Es mag ein kleiner Trost sein, aber es funktioniert für uns. Der Server ist Windows Server 2003 R2 und die SonicWALL verfügt über SonicOS Enhanced 4.2.0.1-12e.

Hier sind die Einstellungen:

  • Authentifizierungsmethode für die Anmeldung: LDAP + Lokale Benutzer
  • Registerkarte "LDAP-Server":
    • Wählen Sie "Geben Sie einen eindeutigen Bindungsnamen".
    • Unterscheidungsnamen sonicwall_ldap@OURDOMAIN.localbinden : (Ein Benutzer, den wir erstellt haben, damit SonicWALL LDAP lesen kann)
    • Verwenden Sie TLS (SSL) aktiviert
      • LDAP-Anforderung 'TLS starten' senden: aktiviert
      • Gültiges Zertifikat vom Server erforderlich : nicht aktiviert (wir verwenden ein selbstsigniertes Zertifikat)
      • Lokales Zertifikat für TLS: Keine
  • RADIUS wurde nicht als Fallback konfiguriert.

Bevor Ihre Anmeldungen funktionieren, müssen Sie zur Registerkarte "Verzeichnis" gehen und auf "Automatisch konfigurieren" klicken. Wenn die automatische Konfiguration fehlschlägt, stellen Sie sicher, dass der LDAP-Benutzername und das Kennwort von SonicWALL (z sonicwall_ldap@OURDOMAIN.local. B. ) korrekt sind.

Stellen Sie nach der automatischen Konfiguration sicher, dass "Bäume mit Benutzergruppen:" den Abschnitt Ihres AD-Baums enthält, in dem sich die Benutzer anmelden. Anschließend sollten Sie auf der Registerkarte "Test" Folgendes testen können:

  • Benutzer: username( Hinweis: ** Der AD-Domänenname sollte ** nicht im Benutzernamen enthalten sein, da SonicWALL die auf der Registerkarte Verzeichnis angegebenen Benutzerkontexte durchsucht.)
  • Passwort: (ihr Passwort)
Nate
quelle
Haben Sie dem Benutzer sonicwall_ldap spezielle Rechte / Gruppen zugewiesen?
Kara Marfia
Nein. Es ist ein reguläres Mitglied von Domain-Benutzern. (Ja, ich sollte diese Mitgliedschaft wahrscheinlich entfernen und durch etwas Restriktiveres ersetzen, das nur LDAP funktioniert.)
Nate
Gut beschrieben! Gute Antwort!
Geoffc
Hmm ... wenn ich die Einstellungen eingebe, die Sie haben, wird beim Ausführen einer Testanmeldung immer noch "LDAP-Authentifizierung fehlgeschlagen" angezeigt. Alles sieht richtig aus. Wenn ich zur Registerkarte "Verzeichnis" gehe und automatisch konfiguriere, werden alle Bäume korrekt ausgefüllt. Es ist nur der Test, der immer wieder fehlschlägt.
Coleman
3
Ich habe das Problem herausgefunden und fühle mich folglich wie ein Idiot. Sie kennen das Kontrollkästchen im Hauptbereich Benutzereinstellungen mit der Aufschrift "Benutzernamen mit Groß- und Kleinschreibung beachten"? Nun, das wurde überprüft. Ich habe das Kontrollkästchen deaktiviert und die Dinge funktionieren jetzt. Das Problem ist, dass beim erstmaligen Einrichten des AD die Benutzerkonten im Format "John.Doe" geschrieben wurden und ich mit "john.doe" getestet habe. Die neueren Konten, die ich erstellt habe, wurden in Kleinbuchstaben geschrieben, weshalb sie funktionierten. Bei der Verwendung der AD / Windows-Authentifizierung spielt die Groß- und Kleinschreibung keine Rolle, bei unformatiertem LDAP jedoch auf jeden Fall. Vielen Dank an alle.
Coleman
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.