Sonicwall LDAP

[0815newby 0]

Hey,

 

ich möchte in meiner Sonicwall LDAP integrieren. Ziel ist es eine best. Gruppe zu importieren, in denen alle User enthalten sind, die Admin-Rechte dafür bekommen sollen.

 

Falls später ein User dieser Gruppe zugewiesen wird, soll er ebenso Adminrechte bekommen, ohne dass ich Ihnen neu importieren muss.

 

Ist dies prinzipiell möglich?

 

Gruß Linus 

[Dunkelmann 96]

Moin,

 

die Gruppe muss AFAIK der Konvention von Sonicwall folgen. Also "SonicWALL Administrators" oder "SonicWALL Read-Only Admins" heißen.

 

btw: Ich würde ungerne LDAP verwenden wollen und Radius für die Authentifizierung der Administratoren nutzen.

[NorbertFe 2.155]

Darf man erfahren, was gegen ldaps spricht? Hab ab und an solche Kundenanfragen :)

[0815newby 0]

Ich habe jetzt meine admin-Gruppe (ldap) importiert und der "SonicWALL Administrators" zugewiesen. Dennoch haben die die User der Admingruppe keine Berechtigung, folgende Meldung:

" User login denied - User has no privileges for login from that location"

 

Ich habe das Gefühl, dass der Import der Gruppe nicht die entspr. User mitimportiert.

[Dunkelmann 96]

Darf man erfahren, was gegen ldaps spricht? Hab ab und an solche Kundenanfragen :)

Gegen LDAPS spricht weniger als gegen LDAP ;)

 

Bei Radius sehe ich den Vorteil, dass keine Appliance - besonders eine am Edge - direkt mit meinen DCs reden muss. Ich benötige dort keinen dummy User zum browsen im AD, ich kann das AD umbauen oder umsortieren ohne mir über hinterlegte Suchpfade gedanken zu machen.

Über Radius kann ich nicht nur die Verwaltung von Firewalls lösen, sondern mit wenig Aufwand das gleiche Backend auch für die Administration anderer (Netzwerk-)Geräte nutzen. Switches, WiFi Controller, USV, Gebäudemanagement - solange ich nichts aus der Wühlkiste nehme, bieten viele eine Radiusauthentifizierung für Admins und/oder Benutzer an.

 

Je nach Art und Umfang der Integration gibt es auch andere Benefits.

Da wäre die Nutzung von Radius Standardattributen (bspw. session/idle timeout, logon hours) oder herstellerspezifischen Attributen wie dynamische Gruppenzuweisung über den Radius ohne dass ich jede Appliance einzeln Konfigurieren muss.

[NorbertFe 2.155]

OK danke für die Infos.

[0815newby 0]

Danke für die Infos.

In meiner Testumgebung kann ldap laufen, später im produktiven werde ich natürlich ldaps einsetzen.

 

Wie ich vermutet habe, erkennt die Sonicwall beim Import nicht, ob eine Gruppe Mitglieder besitzt oder nicht. Jetzt ist die Frage ob es am ldap-server liegt oder an der Sonicwall. 

[NorbertFe 2.155]

Dazu muß der LDAP Bind User auch das Recht haben, diese Info per Ldap auszulesen.

[zahni 566]

Aus der Erinnerung laufen  LDAP-Abfragen auch anders ab:

Der User Authentifiziert sich irgendwie (z.B. auch per LDAP) und dann wird  entweder direkt mit diesem User oder mit  einem  technischen User  das betreffende Konto abgefragt.

Default ist in AD  eigentlich, dass jeder User der Gruppe "Domain Users" das  Recht besitzt das Attribut memberof eines Users abzufragen. Nun kann der LDAP-Client mit diesen Daten machen was er für richtig  hält.

Die entsprechenden AD Gruppen könnten man im LDAP-Client z.B. auch manuell anlegen...

[NorbertFe 2.155]

Hi, nein ein normaler Nutzer hat nicht das Recht "Member_of" abzufragen. Das muß man explizit delegieren und zwar auf alle Benutzer. Es wird also nicht die Gruppe abgefragt, sondern die Nutzer. ;)

[zahni 566]

Komisch, bei uns ist  das so. Muss wohl am AD liegen. Das stammt aus Windows 2000-Zeiten.

Ich habe hier  div. technische User für LDAP-Abfragen (für Java-Server-Anwendungen), die ohne Probleme so das "Memberof"-Attribut abfragen können.

[NorbertFe 2.155]

Mach mal die Gruppe der Pre-Windows2000 User leer ;)

[0815newby 0]

Ich hab vergessen zu erwähnen, dass mein LDAP-Server auf Linux läuft. 

 

Wenn ich über die Sonicwall eine Testanmeldung durchführe, erhalte ich folgende "Returned User Attributes":

uid: user1
dn: uid=user1,ou=people,dc=domain,dc=local

bearbeitet 25. Oktober 2016 von 0815newby