Не работает идентификация по пользователям AD в АТР500

ААА сервер добавлен корректно (тест видит пользователей в AD)
В метод аутентификации по умолчанию добавлено group_ad
Добавлен ext-group-user (тест понимает, есть ли пользователь в данной группе AD или нет)
Создана (уже в рамках теста) группа, куда добавлен этот ext-group-user...
Но если создавать правило в Policy Control и в столбце "user" выбирать хоть созданного пользователя, хоть группу - правило не работает ((
При этом тоже самое правило "для всех" отрабатывает отлично.
Подскажите, где могу ошибаться или не доделывать что-то?
В метод аутентификации по умолчанию добавлено group_ad
Добавлен ext-group-user (тест понимает, есть ли пользователь в данной группе AD или нет)
Создана (уже в рамках теста) группа, куда добавлен этот ext-group-user...
Но если создавать правило в Policy Control и в столбце "user" выбирать хоть созданного пользователя, хоть группу - правило не работает ((
При этом тоже самое правило "для всех" отрабатывает отлично.
Подскажите, где могу ошибаться или не доделывать что-то?
Sign In to comment.
All Replies
_debug domain-auth test profile-name [ad profile name] username [username] password [password]
Какой будет ответ шлюза?
Речь идет о командах через ssh? Router# - здесь?
И еще - когда настраивается профиль "ad" для ААА сервера, то CN="Выводимое Имя". В данной команде username - это имя входа пользователя или тоже самое Выводимое Имя?
В общем, попробовал по-разному:
если в качестве username использовать имя входа пользователя (_debug domain-auth test profile-name ad username atp500admin password ********) - пишет the configure is not ok,
если выводимо имя - то вообще не воспроизводится команда, так как выводимое имя с пробелами...
При этом из web консоли тест проходит "на ура". С помощью этого пользователя все видит и определяет принадлежность к группам.
Теперь ответ такой:
MSChap попробовал для теста уже... вообще настраивал без него.
cn=administrator,cn=users,dc=cso,dc=net
Где 'administrator' это имя пользователя с привилегией администратора домена
'users' - группа к которой принадлежит этот акаунт
По поводу настроек MSChap воспользуйтесь статьей нашей Базы Знаний
Как подключиться к домену Active Directory с помощью USG / ATP / VPN
Да не работает так. Уже пробовал много раз. Хотя через web интерфейс все тесты - ОК.
Создал еще одного пользователя, у которого выводимое имя и имя пользователя совпадают (уж совсем идеальный случай).