Не работает идентификация по пользователям AD в АТР500

MPerov
MPerov Публикаций: 105  Ally Member
First Anniversary 10 Comments
ААА сервер добавлен корректно (тест видит пользователей в AD)
В метод аутентификации по умолчанию добавлено group_ad
Добавлен ext-group-user (тест понимает, есть ли пользователь в данной группе AD или нет)
Создана (уже в рамках теста) группа, куда добавлен этот ext-group-user...

Но если создавать правило в Policy Control и в столбце "user" выбирать хоть созданного пользователя, хоть группу - правило не работает ((
При этом тоже самое правило "для всех" отрабатывает отлично.

Подскажите, где могу ошибаться или не доделывать что-то?
«13456712

All Replies

  • Zyxel_Andrew
    Zyxel_Andrew Публикаций: 565  Zyxel Employee
    First Anniversary 10 Comments Friend Collector First Answer
    Убедитесь, что шлюз действительно может успешно авторизовать пользователя в AD помощью команды:

    _debug domain-auth test profile-name [ad profile name] username [username] password [password]

    Какой будет ответ шлюза?   
  • MPerov
    MPerov Публикаций: 105  Ally Member
    First Anniversary 10 Comments
    Вопрос:
    Речь идет о командах через ssh? Router# - здесь?
    И еще - когда настраивается профиль "ad" для ААА сервера, то CN="Выводимое Имя". В данной команде username - это имя входа пользователя или тоже самое Выводимое Имя?

    В общем, попробовал по-разному:
    если в качестве username использовать имя входа пользователя (_debug domain-auth test profile-name ad username atp500admin password ********) - пишет the configure is not ok,
    если выводимо имя - то вообще не воспроизводится команда, так как выводимое имя с пробелами...
    При этом из web консоли тест проходит "на ура". С помощью этого пользователя все видит и определяет принадлежность к группам.
  • MPerov
    MPerov Публикаций: 105  Ally Member
    First Anniversary 10 Comments
    Добавил аутентификацию через ms chap. 
    Теперь ответ такой:
    Failed to join domain: failed to lookup DC info for domain 'AAT' over rpc: NT_STATUS_CONNECTION_RESET
    /usr/sbin/winbindd -s /var/zyxel//ZyXELad.conf
    ntlm_auth --username=atp500admin --password=********
    could not obtain winbind separator!
    Reading winbind reply failed! (0x01)
    :  (0x0)
    /usr/bin/killwinbind ZyXELad
  • MPerov
    MPerov Публикаций: 105  Ally Member
    First Anniversary 10 Comments
    Вот еще - если проверить такой командой через ааа сервер - все хорошо видится.

    Router> test aaa server ad host 192.168.100.2 port 389 base-dn DC=aat,DC=local bind-dn aat\atp500admin password ******** login-name-attribute sAMAccountName account audit

    dn:: Q0490JDRg9C00LjRgixPVT1hYXRfdXNlcnMsREM9YWF0LERDPWxvY2Fs
    objectClass: top
    objectClass: person
    objectClass: organizationalPerson
    objectClass: user
    cn:: 0JDRg9C00LjRgg==
    givenName:: 0JDRg9C00LjRgg==
    distinguishedName:: Q0490JDRg9C00LjRgixPVT1hYXRfdXNlcnMsREM9YWF0LERDPWxvY2Fs
    instanceType: 4
    whenCreated: 20200127073339.0Z
    whenChanged: 20200727052900.0Z
    displayName:: 0JDRg9C00LjRgg==
    uSNCreated: 12552
    uSNChanged: 984518
    name:: 0JDRg9C00LjRgg==
    objectGUID:: aPEWNV8KUEu1QsegM7UrTQ==
    userAccountControl: 512
    badPwdCount: 8
    codePage: 0
    countryCode: 0
    badPasswordTime: 132408595045660681
    lastLogon: 132405401913809138
    pwdLastSet: 132245840198764879
    primaryGroupID: 513
    objectSid:: AQUAAAAAAAUVAAAACb1Ag7jpkMopR0hm5QQAAA==
    accountExpires: 9223372036854775807
    logonCount: 0
    sAMAccountName: Audit
    sAMAccountType: 805306368
    userPrincipalName: Audit@aat.local
    objectCategory: CN=Person,CN=Schema,CN=Configuration,DC=aat,DC=local
    dSCorePropagationData: 16010101000000.0Z
    lastLogonTimestamp: 132403013404695474

    # search reference
    ref: ldap://ForestDnsZones.aat.local/DC=ForestDnsZones,DC=aat,DC=local

    # search reference
    ref: ldap://DomainDnsZones.aat.local/DC=DomainDnsZones,DC=aat,DC=local

    # search reference
    ref: ldap://aat.local/CN=Configuration,DC=aat,DC=local

  • Zyxel_Andrew
    Zyxel_Andrew Публикаций: 565  Zyxel Employee
    First Anniversary 10 Comments Friend Collector First Answer
    Можете показать вашу настройку профиля "ad" для AAA Server?
  • MPerov
    MPerov Публикаций: 105  Ally Member
    First Anniversary 10 Comments

  • MPerov
    MPerov Публикаций: 105  Ally Member
    First Anniversary 10 Comments
    отредактировано октября 2020
    Bind DN пробовал еще вот так: CN=admin for ATP 500,CN=Users,DC=aat,DC=local - при таких значениях проверка через web админку также проходит. Пользователи ищутся.
    MSChap попробовал для теста уже...  вообще настраивал без него.
  • Zyxel_Andrew
    Zyxel_Andrew Публикаций: 565  Zyxel Employee
    First Anniversary 10 Comments Friend Collector First Answer
    Правильный формат Bind DN выглядит так:
    cn=administrator,cn=users,dc=cso,dc=net
    Где '
    administrator' это имя пользователя с привилегией администратора домена
    'users' - группа к которой принадлежит этот акаунт
     
    По поводу настроек MSChap воспользуйтесь статьей нашей Базы Знаний
    Как подключиться к домену Active Directory с помощью USG / ATP / VPN


  • MPerov
    MPerov Публикаций: 105  Ally Member
    First Anniversary 10 Comments
    CN=atp500,CN=Users,DC=aat,DC=local
    Да не работает так. Уже пробовал много раз. Хотя через web интерфейс все тесты - ОК.
    Создал еще одного пользователя, у которого выводимое имя и имя пользователя совпадают (уж совсем идеальный случай).
  • MPerov
    MPerov Публикаций: 105  Ally Member
    First Anniversary 10 Comments