daabm 1.354 Geschrieben 24. November 2023 Melden Teilen Geschrieben 24. November 2023 Hallo zusammen. Hat eigentlich nichts mit Windows direkt zu tun, aber hier paßt es am besten rein... Ein Kunde setzt Aruba Clearpass als VPN-Lösung ein. User sind in Domäne A, Computer in Domäne B. Technischer Bind-User für Aruba ist auch in Domäne A. Die Domänen sind NICHT im gleichen Forest, aber es gibt einen Bidi-Trust. Die Clearpass-Appliance ist NICHT Mitglied einer dieser Domänen. Wie muß Clearpass konfiguriert werden, damit der Bind-User aus Domäne A in Domäne B authentifiziert werden kann? (Authentifizierung in Domäne A funktioniert problemlos.) Die Doku (https://www.arubanetworks.com/techdocs/ClearPass/6.7/Aruba_DeployGd_HTML/Default.htm#Active Directory/AD_auth_source_adding.htm%3FTocPath%3DPreparing%20ClearPass%20for%20Active%20Directory%20Authentication|_____2) hab ich gelesen, aber da finde ich keine Erhellung. Und der Multi-Domain Support von Clearpass scheint sich auf einen Forest zu beschränken, in dem dann nicht AD (389/636) gefragt wird, sondern GC (3268/3269). Bin für jeden Tip dankbar - der Kunde auch Gruß Martin Zitieren Link zu diesem Kommentar
cj_berlin 1.313 Geschrieben 25. November 2023 Melden Teilen Geschrieben 25. November 2023 Moin, viel von ClearPass gehört, nie live gesehen, aber nach dem Überfliegen des Artikels (auf dem Phone) mal ganz b***d gefragt: kann man nicht zwei AD-basierte Authentication Sources hinzufügen? Zitieren Link zu diesem Kommentar
daabm 1.354 Geschrieben 25. November 2023 Autor Melden Teilen Geschrieben 25. November 2023 Ja, kann man. Problem sind nicht die 2 Domänen, sondern daß es nur einen Bind-User in Domäne A geben soll, nicht in Domäne B. Bei den AD-Sources kann man aber nirgends angeben, wo sich der Bind-User befindet. Ok, in seinem DN steht es drin, aber wir vermuten, daß Clearpass den DN intern mit dem Hostnamen (=Zieldomäne) ergänzt, so daß LDAP://<DomäneB>:636/<BindDNausDomäneA> daraus wird. Innerhalb eines Forest und mit 3269 statt 636 würde das ja funktionieren, aber wir haben halt 2 Forests - der DN von Domäne A ist in Domäne B natürlich ungültig. Zitieren Link zu diesem Kommentar
cj_berlin 1.313 Geschrieben 25. November 2023 Melden Teilen Geschrieben 25. November 2023 Habe ich jetzt nicht verstanden, aber Du wirst es schon ordentlich recherchiert haben. Was ist mit dem Referrals-Parameter? Habt ihr das versucht zu aktivieren und brachte das irgendeine Änderung? Das sollte eigentlich genau dafür da sein... Zitieren Link zu diesem Kommentar
XP-Fan 217 Geschrieben 25. November 2023 Melden Teilen Geschrieben 25. November 2023 The Bind DN user, such as Administrator, is the username associated with the Bind DN user account. For a single domain Active Directory Domain Service, the Bind DN entry must be located in the same branch and below the Base DN. For a multi-domain Active Directory Domain Service (AD DS) forest, because you leave the Base DN text box empty, the restrictions that apply for a single domain do not apply for a multi-domain forest. ClearPass fills in the domain portion of the Bind DN. Bin mir nicht sicher ob das dir weiterhilft aber einen Versuch wäre es wert. Quelle Punkt 4: Adding Active Directory as an Authentication Source to ClearPass Zitieren Link zu diesem Kommentar
NorbertFe 2.034 Geschrieben 25. November 2023 Melden Teilen Geschrieben 25. November 2023 vor 3 Stunden schrieb XP-Fan: For a multi-domain Active Directory Domain Service (AD DS) forest, Darum geht’s ja nicht, sondern um zwei trusted forests (so hab ich’s zumindest verstanden) 1 Zitieren Link zu diesem Kommentar
daabm 1.354 Geschrieben 26. November 2023 Autor Melden Teilen Geschrieben 26. November 2023 Genau. Multi Domain kein Problem, wenn es ein Forest (mit GC ! ) ist. Haben wir aber nicht, wir haben 2 Forests. Und weil das als Virtual Appliance daherkommt, gibt es auch keinen Root-Zugriff und man kommt an die Eingeweide nicht ran. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.