iT邦幫忙

0

Netscreen NS5GT LDAP驗證問題

因為老廠房仍在使用NS5GT,想說把原本的LOCAL 驗證改成LDAP驗證,但感覺NS-5GT的LDAP只能指定到一個位置,對於該OU底下的其他子層OU中的帳號都不能驗證,請問有前輩們有過這樣的經驗嗎? 在還沒換FIREWALL之前,得先使用這部,所以先不考慮換機器的選擇,想上來看看有沒有人處理過這樣的問題? 謝謝呀

看更多先前的討論...收起先前的討論...
morryboy iT邦新手 1 級 ‧ 2016-05-08 15:55:36 檢舉
不好意思,沒寫清楚,例如:LDAP驗證的distinguished name (dn) ou=test,dc=example,dc=com ,其test的ou底下第一層帳號都能驗證通過,可是再下去第二層的帳號,例如cn=abc,ou=Adep,ou=test,dc=example,dc=com,它就找不到abc了,我的想法是驗證時應該是要包括domain tree底下的子結構的所有帳號才對呀,common name identifier不論設成 uid或cn都沒用 > " <
morryboy iT邦新手 1 級 ‧ 2016-05-08 15:55:45 檢舉
不好意思,沒寫清楚,例如:LDAP驗證的distinguished name (dn) ou=test,dc=example,dc=com ,其test的ou底下第一層帳號都能驗證通過,可是再下去第二層的帳號,例如cn=abc,ou=Adep,ou=test,dc=example,dc=com,它就找不到abc了,我的想法是驗證時應該是要包括domain tree底下的子結構的所有帳號才對呀,common name identifier不論設成 uid或cn都沒用 > " <
morryboy iT邦新手 1 級 ‧ 2016-05-08 15:58:41 檢舉
多po了一次,刪不掉,不好意思 ><
在很久以前為了要限制有驗証的使用者才能上網研究過一次.
當時的結論是跟你一樣的, 就只能在第一層OU內.
所以只好把能上網的使用者通通放在裡面.
morryboy iT邦新手 1 級 ‧ 2016-05-12 20:50:47 檢舉
慘慘慘…我應該要盡責把它改了才對呀^^

2 個回答

0
zyman2008
iT邦大師 8 級 ‧ 2016-05-09 10:24:48
最佳解答

拐個彎, 用RADIUS authentication with Domain user accounts.

找台Domain member server, 再上面起NPS server.
設定多條Network Policies, 用User Group做policy match.

morryboy iT邦新手 1 級 ‧ 2016-05-12 20:51:56 檢舉

來試試^^謝謝

WilliamHuang
iT邦新手 1 級 ‧ 2016-05-08 12:11:10
【**此則訊息已被站方移除**】

我要發表回答

立即登入回答