10
Sonicwall LDAP mit AD Gruppe und User Problem
Hallo zusammen,
ich habe ein kleines Problem im Bezug auf VPN (bzw. Login) mit LDAP über einen Windows Server 2012R2 AD.
VPN läuft mit lokalen Usern welche sich ein einer Gruppe "VPN User" befinden wunderbar. (Login auch)
Konfiguriere ich jetzt die LDAP Anbindung ändert sich erstmla nichts. Um die Gruppen lokal auswählen zu können muss ich im Users & Groups Tab die LDAP Konfiguration Lokal spiegeln.
Soweit so gut. Darüber hinaus kann ich bestimmte User oder Gruppen aus dem LDAP importieren.
Nun zum Problem:
1. Die aus dem LDAP importierten Gruppen enthalten nicht die AD User sondern sind Leer
2. Importiere ich einen AD User in die Lokale Datenbank wird die Passwort Konfiguration nicht übernommen. Erst wenn ich das Passwort in den Lokal gespiegelten User eintrage läuft es. Aber dann kann ich mir LDAP auch sparen und alle User Lokal anlegen
Also im Prinzip ist es ein LDAP Problem und nicht VPN spezifisch. Nur würde ich gern einfach eine AD Gruppe auswählen in welcher die AD User stehen die für VPN berechtigt sind.
Hat jemand hier eine Idee?
Danke schonmal.
lg
Theo
ich habe ein kleines Problem im Bezug auf VPN (bzw. Login) mit LDAP über einen Windows Server 2012R2 AD.
VPN läuft mit lokalen Usern welche sich ein einer Gruppe "VPN User" befinden wunderbar. (Login auch)
Konfiguriere ich jetzt die LDAP Anbindung ändert sich erstmla nichts. Um die Gruppen lokal auswählen zu können muss ich im Users & Groups Tab die LDAP Konfiguration Lokal spiegeln.
Soweit so gut. Darüber hinaus kann ich bestimmte User oder Gruppen aus dem LDAP importieren.
Nun zum Problem:
1. Die aus dem LDAP importierten Gruppen enthalten nicht die AD User sondern sind Leer
2. Importiere ich einen AD User in die Lokale Datenbank wird die Passwort Konfiguration nicht übernommen. Erst wenn ich das Passwort in den Lokal gespiegelten User eintrage läuft es. Aber dann kann ich mir LDAP auch sparen und alle User Lokal anlegen
Also im Prinzip ist es ein LDAP Problem und nicht VPN spezifisch. Nur würde ich gern einfach eine AD Gruppe auswählen in welcher die AD User stehen die für VPN berechtigt sind.
Hat jemand hier eine Idee?
Danke schonmal.
lg
Theo
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 295645
Url: https://administrator.de/contentid/295645
Printed on: April 24, 2024 at 23:04 o'clock
10 Comments
Latest comment
Hi,
ich kenne SonicWall nicht. Aber kann diese RADIUS? Falls ja, dann unter Windows einen RADIUS bereiststellen und gut ist?
E.
ich kenne SonicWall nicht. Aber kann diese RADIUS? Falls ja, dann unter Windows einen RADIUS bereiststellen und gut ist?
E.
Hi Emeriks,
klar könnte ich jetzt einen NAP Server aufspielen aber ich hatte die Hoffung, dass das auch so geht. Wundert mich, ein bisschen, dass die Sonicwall nicht nativ mit AD Gruppen arbeiten kann..
Na vielleicht fällt ja jemandem nochwas ein außer einem separaten RADIUS.
lg
Theo
klar könnte ich jetzt einen NAP Server aufspielen aber ich hatte die Hoffung, dass das auch so geht. Wundert mich, ein bisschen, dass die Sonicwall nicht nativ mit AD Gruppen arbeiten kann..
Na vielleicht fällt ja jemandem nochwas ein außer einem separaten RADIUS.
lg
Theo
Hallo Theo,
geht es um SSL oder IPSec VPN?
Übrigens, das die Gruppe unter Users -> Local Groups "No member" anzeigt, ist normal. Wenn alles richtig konfiguriert ist funktioniert der Login trotzdem mit dem AD User.
vllt helfen dir diese Links.
http://peter-kline.com/?p=37
http://peter-kline.com/?p=50
https://support.software.dell.com/de-de/kb/sw7806
https://support.software.dell.com/kb/sw8554
geht es um SSL oder IPSec VPN?
Übrigens, das die Gruppe unter Users -> Local Groups "No member" anzeigt, ist normal. Wenn alles richtig konfiguriert ist funktioniert der Login trotzdem mit dem AD User.
vllt helfen dir diese Links.
http://peter-kline.com/?p=37
http://peter-kline.com/?p=50
https://support.software.dell.com/de-de/kb/sw7806
https://support.software.dell.com/kb/sw8554
Zitat von @theoberlin:
Also im Prinzip ist es ein LDAP Problem und nicht VPN spezifisch. Nur würde ich gern einfach eine AD Gruppe auswählen in welcher die AD User stehen die für VPN berechtigt sind.
Also im Prinzip ist es ein LDAP Problem und nicht VPN spezifisch. Nur würde ich gern einfach eine AD Gruppe auswählen in welcher die AD User stehen die für VPN berechtigt sind.
Hallo Theo,
also hier funktioniert auf das 2 NSA2400 ohne Probleme.
Die Gruppe erscheint unter Local Groups und ist auch als LDAP Gruppe gekennzeichnet.
Der Reiter Members ist bei mir auch leer. Aber die Gruppe hat ja die Berechtigung für den VPN Connect.
Was sagt denn der Support? Haben die sich die Konfig mal angesehen?
Gruß
Hallo an alle,
ich probiere das dann morgen nochmal aus. Hatte mich von der Leeren Gruppe erstmal irritieren lassen bzw. das Mit dem User ausprobiert was ja leider nicht gaklappt hat.
Den Support hab ich noch nicht kontaktiert. ich probier das dann nochmla morgen mit der "Leeren" Local Group vom LDAP aus.
Und es ist ein IP/Sec VPN. Danke für eure Links. Sehe ich mir gleich mal an.
lg
Theo
ich probiere das dann morgen nochmal aus. Hatte mich von der Leeren Gruppe erstmal irritieren lassen bzw. das Mit dem User ausprobiert was ja leider nicht gaklappt hat.
Den Support hab ich noch nicht kontaktiert. ich probier das dann nochmla morgen mit der "Leeren" Local Group vom LDAP aus.
Und es ist ein IP/Sec VPN. Danke für eure Links. Sehe ich mir gleich mal an.
lg
Theo
Hallo zusammen,
ich glaube mein Hauptproblem ist, dass das LDAP übers AD keine CHAP Authentifizierung zulässt, das IPhone das aber anfordert.
Ich denke das bekomme ich wirklich nur mit einem separaten NAP Server hin.
@cyberjunkie…hast du dieses Problem nicht?
Bei mir klappt das nicht..sowohl wenn ich der LDAP Gruppe die VPN rechte gebe als auch wenn ich sie vom LDAP importiere.
Habe auch schon die Loginnamen Domäne\User und nur User ausprobiert.
Im Log der Sonicwall steht in jedem Fall "AD LDAP dosn't allow CHAP"
lg
Theo
ich glaube mein Hauptproblem ist, dass das LDAP übers AD keine CHAP Authentifizierung zulässt, das IPhone das aber anfordert.
Ich denke das bekomme ich wirklich nur mit einem separaten NAP Server hin.
@cyberjunkie…hast du dieses Problem nicht?
Bei mir klappt das nicht..sowohl wenn ich der LDAP Gruppe die VPN rechte gebe als auch wenn ich sie vom LDAP importiere.
Habe auch schon die Loginnamen Domäne\User und nur User ausprobiert.
Im Log der Sonicwall steht in jedem Fall "AD LDAP dosn't allow CHAP"
lg
Theo
Zitat von @theoberlin:
Hallo zusammen,
ich glaube mein Hauptproblem ist, dass das LDAP übers AD keine CHAP Authentifizierung zulässt, das IPhone das aber anfordert.
Hallo zusammen,
ich glaube mein Hauptproblem ist, dass das LDAP übers AD keine CHAP Authentifizierung zulässt, das IPhone das aber anfordert.
Hallo Theo,
Wir nutzen bei unseren Kunden sicherlich ein Dutzend unterschiedliche SonicWalls, je nach Kunden Größe und Anforderung. Es wäre mir neu wenn das IPSec VPN mit den Apple Geräten funktionieren würde. Wir nutzen dort ausschließlich SSL VPN (NetExtender bzw Mobile Connect) und zur Not L2TP ein, wenn wir keine Lizenzen haben. Der IPSec VPN Client von SonicWall wurde damals aus dem App Store genommen, wieso müsstest du mal googlen.
Gruß
geko59
Zitat von @theoberlin:
ich glaube mein Hauptproblem ist, dass das LDAP übers AD keine CHAP Authentifizierung zulässt, das IPhone das aber anfordert.
Ich denke das bekomme ich wirklich nur mit einem separaten NAP Server hin.
@cyberjunkie…hast du dieses Problem nicht?
ich glaube mein Hauptproblem ist, dass das LDAP übers AD keine CHAP Authentifizierung zulässt, das IPhone das aber anfordert.
Ich denke das bekomme ich wirklich nur mit einem separaten NAP Server hin.
@cyberjunkie…hast du dieses Problem nicht?
Hallo Theo,
wir nur nutzen VPN nur über den SonicWALL Global VPN Client und den SSL Netextender.
Mit funktioniert meinte ich die Sache mit der LDAP Gruppe.
Gruß
Hallo Theo,
der GVC ist auf jeden Fall das richtige Stichwort, wenn es um IPSec VPN bei der SonicWall geht.
Was passiert denn, wenn du den GVC auf deiner Windows Maschine installierst und versuchst dich über diesen einzuwählen? Dann könntest du sicherstellen das deine Konfiguration in Ordnung ist.
der GVC ist auf jeden Fall das richtige Stichwort, wenn es um IPSec VPN bei der SonicWall geht.
Was passiert denn, wenn du den GVC auf deiner Windows Maschine installierst und versuchst dich über diesen einzuwählen? Dann könntest du sicherstellen das deine Konfiguration in Ordnung ist.
Hallo zusammen,
ich habe gerade SSL-VPN eingerichtet und werde das wohl dann damit realisieren.
Wisst ihr ob der Sonicwall Mobile Client auch mit Zertifikaten umgehen kann? Bis jetzt habe ich da nichts gefunden. Mit username/kennwort Kombination klappt es.
Allerdings im LDAP nur wenn ich dem User die Rechte gebe (SSL VPN). Stecke ich den LDAP User in eine Lokale Gruppe mit den Rechten oder gebe dieser der LDAP Gruppe klappts weiterhin nicht. Aber hauptsache ich kann den LDAP User nehmen.
Bei Gruppen kann ichmich zwar authentifizieren aber ich bekomme die Meldung, dass die Privilegien nicht ausreichen un der User kein Member von SSL-VPN Services ist obwohl die Gruppen mit aufgenommen sind. Naja egal
lg
Theo
ich habe gerade SSL-VPN eingerichtet und werde das wohl dann damit realisieren.
Wisst ihr ob der Sonicwall Mobile Client auch mit Zertifikaten umgehen kann? Bis jetzt habe ich da nichts gefunden. Mit username/kennwort Kombination klappt es.
Allerdings im LDAP nur wenn ich dem User die Rechte gebe (SSL VPN). Stecke ich den LDAP User in eine Lokale Gruppe mit den Rechten oder gebe dieser der LDAP Gruppe klappts weiterhin nicht. Aber hauptsache ich kann den LDAP User nehmen.
Bei Gruppen kann ichmich zwar authentifizieren aber ich bekomme die Meldung, dass die Privilegien nicht ausreichen un der User kein Member von SSL-VPN Services ist obwohl die Gruppen mit aufgenommen sind. Naja egal
lg
Theo
