0815newby 0 Geschrieben 19. Oktober 2016 Melden Teilen Geschrieben 19. Oktober 2016 Hey, ich möchte in meiner Sonicwall LDAP integrieren. Ziel ist es eine best. Gruppe zu importieren, in denen alle User enthalten sind, die Admin-Rechte dafür bekommen sollen. Falls später ein User dieser Gruppe zugewiesen wird, soll er ebenso Adminrechte bekommen, ohne dass ich Ihnen neu importieren muss. Ist dies prinzipiell möglich? Gruß Linus Zitieren Link zu diesem Kommentar
Dunkelmann 96 Geschrieben 19. Oktober 2016 Melden Teilen Geschrieben 19. Oktober 2016 Moin, die Gruppe muss AFAIK der Konvention von Sonicwall folgen. Also "SonicWALL Administrators" oder "SonicWALL Read-Only Admins" heißen. btw: Ich würde ungerne LDAP verwenden wollen und Radius für die Authentifizierung der Administratoren nutzen. Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 19. Oktober 2016 Melden Teilen Geschrieben 19. Oktober 2016 Darf man erfahren, was gegen ldaps spricht? Hab ab und an solche Kundenanfragen :) Zitieren Link zu diesem Kommentar
0815newby 0 Geschrieben 20. Oktober 2016 Autor Melden Teilen Geschrieben 20. Oktober 2016 Ich habe jetzt meine admin-Gruppe (ldap) importiert und der "SonicWALL Administrators" zugewiesen. Dennoch haben die die User der Admingruppe keine Berechtigung, folgende Meldung: " User login denied - User has no privileges for login from that location" Ich habe das Gefühl, dass der Import der Gruppe nicht die entspr. User mitimportiert. Zitieren Link zu diesem Kommentar
Dunkelmann 96 Geschrieben 20. Oktober 2016 Melden Teilen Geschrieben 20. Oktober 2016 Darf man erfahren, was gegen ldaps spricht? Hab ab und an solche Kundenanfragen :) Gegen LDAPS spricht weniger als gegen LDAP ;) Bei Radius sehe ich den Vorteil, dass keine Appliance - besonders eine am Edge - direkt mit meinen DCs reden muss. Ich benötige dort keinen dummy User zum browsen im AD, ich kann das AD umbauen oder umsortieren ohne mir über hinterlegte Suchpfade gedanken zu machen. Über Radius kann ich nicht nur die Verwaltung von Firewalls lösen, sondern mit wenig Aufwand das gleiche Backend auch für die Administration anderer (Netzwerk-)Geräte nutzen. Switches, WiFi Controller, USV, Gebäudemanagement - solange ich nichts aus der Wühlkiste nehme, bieten viele eine Radiusauthentifizierung für Admins und/oder Benutzer an. Je nach Art und Umfang der Integration gibt es auch andere Benefits. Da wäre die Nutzung von Radius Standardattributen (bspw. session/idle timeout, logon hours) oder herstellerspezifischen Attributen wie dynamische Gruppenzuweisung über den Radius ohne dass ich jede Appliance einzeln Konfigurieren muss. Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 20. Oktober 2016 Melden Teilen Geschrieben 20. Oktober 2016 OK danke für die Infos. Zitieren Link zu diesem Kommentar
0815newby 0 Geschrieben 20. Oktober 2016 Autor Melden Teilen Geschrieben 20. Oktober 2016 Danke für die Infos. In meiner Testumgebung kann ldap laufen, später im produktiven werde ich natürlich ldaps einsetzen. Wie ich vermutet habe, erkennt die Sonicwall beim Import nicht, ob eine Gruppe Mitglieder besitzt oder nicht. Jetzt ist die Frage ob es am ldap-server liegt oder an der Sonicwall. Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 20. Oktober 2016 Melden Teilen Geschrieben 20. Oktober 2016 Dazu muß der LDAP Bind User auch das Recht haben, diese Info per Ldap auszulesen. Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 20. Oktober 2016 Melden Teilen Geschrieben 20. Oktober 2016 Aus der Erinnerung laufen LDAP-Abfragen auch anders ab: Der User Authentifiziert sich irgendwie (z.B. auch per LDAP) und dann wird entweder direkt mit diesem User oder mit einem technischen User das betreffende Konto abgefragt. Default ist in AD eigentlich, dass jeder User der Gruppe "Domain Users" das Recht besitzt das Attribut memberof eines Users abzufragen. Nun kann der LDAP-Client mit diesen Daten machen was er für richtig hält. Die entsprechenden AD Gruppen könnten man im LDAP-Client z.B. auch manuell anlegen... Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 20. Oktober 2016 Melden Teilen Geschrieben 20. Oktober 2016 Hi, nein ein normaler Nutzer hat nicht das Recht "Member_of" abzufragen. Das muß man explizit delegieren und zwar auf alle Benutzer. Es wird also nicht die Gruppe abgefragt, sondern die Nutzer. ;) Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 25. Oktober 2016 Melden Teilen Geschrieben 25. Oktober 2016 Komisch, bei uns ist das so. Muss wohl am AD liegen. Das stammt aus Windows 2000-Zeiten. Ich habe hier div. technische User für LDAP-Abfragen (für Java-Server-Anwendungen), die ohne Probleme so das "Memberof"-Attribut abfragen können. Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 25. Oktober 2016 Melden Teilen Geschrieben 25. Oktober 2016 Mach mal die Gruppe der Pre-Windows2000 User leer ;) Zitieren Link zu diesem Kommentar
Beste Lösung 0815newby 0 Geschrieben 25. Oktober 2016 Autor Beste Lösung Melden Teilen Geschrieben 25. Oktober 2016 (bearbeitet) Ich hab vergessen zu erwähnen, dass mein LDAP-Server auf Linux läuft. Wenn ich über die Sonicwall eine Testanmeldung durchführe, erhalte ich folgende "Returned User Attributes": uid: user1 dn: uid=user1,ou=people,dc=domain,dc=local bearbeitet 25. Oktober 2016 von 0815newby Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.