FTD Identity Realm, Active Directory

Problemy z zakresu security (VPN, firewall, IDS/IPS itp.)
Wiadomość
Autor
Awatar użytkownika
nagalfar
member
member
Posty: 27
Rejestracja: 31 sty 2007, 12:11

FTD Identity Realm, Active Directory

#1

#1 Post autor: nagalfar »

Mam następujący problem, tworząc Identity Realm i łącząc go z kontrolerem AD wszystko jest ok gdy dodaję nowe OU oraz nowych użytkowników BaseDN: OU=konta-vpn,DC=test,DC=loc co niestety jest upierdliwe i dużo wygodniej było by móc używać grup w już istniejącym OU, np. BaseDN: CN=konta-vpn,CN=Users,DC=test,DC=loc
niestety w takim wypadku nie działa ;( ale już wystarczy zawęzić do: BaseDN: CN=Users,DC=test,DC=loc i jest ok.
Pytanie
1. Gdzie mogę zobaczyć log i podejrzeć ew. błędy związane z komunikacją z AD z powyższego przykładu.
2. Dlaczego nie można mapować grup z AD?

pozdrawiam Przemek

Awatar użytkownika
drake
CCIE
CCIE
Posty: 1593
Rejestracja: 06 maja 2005, 01:32
Lokalizacja: Dortmund, DE
Kontakt:

Re: FTD Identity Realm, Active Directory

#2

#2 Post autor: drake »

Hej Przemek,
jesli integracja z AD jest wykonana prawidlowo (stworzony realm + user agent lub ISE), to mozna mapowac rupy z AD i wykorzystac je w ACP. Dziala. Co do przegladania logow, gdy cos nie dziala.... no coz, tu moze byc problem, bo oficjalnie to zbytnio nic nie ma (w GUI... poza guzikiem "Test"). Natomiast mozesz na chwile odpalic pigtail na FMC podczas testowania i komunikacji z AD, oczywiscie trzeba z tym uwazac, bo pluje dosyc sporo outputu. Nie polecam stosowac pigtail w srodowisku produkcyjnym w ciagu dnia... ;)
Wymogi co do integracji z AD sa dobrze opisane w dokumentacji, niestety jest to sporo czytania.

Pozdruffka!
Never stop exploring :)

https://iverion.de

Awatar użytkownika
nagalfar
member
member
Posty: 27
Rejestracja: 31 sty 2007, 12:11

Re: FTD Identity Realm, Active Directory

#3

#3 Post autor: nagalfar »

Moja metodologia była taka że mam stworzone kilka IdentityRealms zmapowanych po DN na różne grupy (aktualnie OU bo grupy nie działają) i w różnych GroupPolicy dodane te konkretne IdentityRealms. Tak uzyskuje ograniczenie określonych grup do określonych zasobów. Próbowałem poprzez ACP i jest dokładnie tak samo jak zawężę w DN do grupy to nie działa. Swoją drogą IdentityRealm natywnie obsługuje AD nie używałem żadnego agenta na kontrolerach AD... czy coś pominąłem?

Awatar użytkownika
drake
CCIE
CCIE
Posty: 1593
Rejestracja: 06 maja 2005, 01:32
Lokalizacja: Dortmund, DE
Kontakt:

Re: FTD Identity Realm, Active Directory

#4

#4 Post autor: drake »

Hej,
ok, moze to kwestia podejscia. Ja zawsze robilem jednego usera w AD (dedykowany pod integracje z FMC), ktory zczytywal pelne drzewo, bez podzialu na DN/grupy, moze w tym sek.

Pozdruffka!
Never stop exploring :)

https://iverion.de

Awatar użytkownika
nagalfar
member
member
Posty: 27
Rejestracja: 31 sty 2007, 12:11

Re: FTD Identity Realm, Active Directory

#5

#5 Post autor: nagalfar »

No właśnie chciałem uniknąć zczytywania pełnego drzewa wydaje mi się to takie trochę hmmm nie najlepsze (dodam że user AD dla każdego Realm może być ten sam i to z globalnego katalogu a mapowanie różnicuje się wyłącznie BaseDN). W drzewie mamy konta które np. nie podlegają polityce haseł bo np. służą urządzeniom a nie userom do połączenia i nie moga sobie ustalać nowych haseł co miesiąc itp. to po pierwsze, po drugie jak to tak nawet twoi userzy nie wszyscy powinni mieć dostęp do firmy???! A poza tym chodziło mi o to że skoro na razie na FTD nie ma DAP jak na ASAch to aby każdy user/grupa-userów mieli dostęp tylko do określonych zasobów po ip jedynym rozwiązaniem jest zrobienie oddzielnych Realms przyporządkowanie ich do różnych do GROUP-POLICY które to mają różna poole adresów, co nam pozwala potem w ACL dopuścić te określone pule do określonych zasobów.
Zczytywania całego drzewa uniknąłem robiąc oddzielne OU od biedy może być ale drążę temat bo czemu miało by w grupach nie działać? Jeżeli ma ktoś inny pomysł na rozwiązanie to jestem otwarty :)

Awatar użytkownika
drake
CCIE
CCIE
Posty: 1593
Rejestracja: 06 maja 2005, 01:32
Lokalizacja: Dortmund, DE
Kontakt:

Re: FTD Identity Realm, Active Directory

#6

#6 Post autor: drake »

Hej,
a czy w podanym przez ciebie przykladzie nazwy CN=konta-vpn, to prawdziwy konfig czy tylko przyklad? Pytam, bo grupy nie powinny zawierac specjalnych znakow typu *,=,\ , moze i "-" przeszkadza.

Pozdruffka!
Never stop exploring :)

https://iverion.de

Awatar użytkownika
nagalfar
member
member
Posty: 27
Rejestracja: 31 sty 2007, 12:11

Re: FTD Identity Realm, Active Directory

#7

#7 Post autor: nagalfar »

to tylko przykład :)
zakładam support ticket zobaczymy co wymyślą

ODPOWIEDZ