fortigate AD LDAP驗證失敗

sslvpn

hsiang11 2022-04-14 21:31:17 ‧ 1899 瀏覽

版本約5.6
目前有設定LDAP把AD加入
CN設定sAMAccountName 連線也測通

用戶認證也加入了LDAP用戶
成功讀取使用者的ID，類型也正確是LDAP
認證/入口網對應也有正確加入使用者的AD群組
可是無法連上

在查VPN紀錄
SSL user failed to logged in
採取行動 ssl-login-fail
理由 sslvpn_login_unknown_user

forticlient可能會回報出-12的錯誤
看起來事都找不到AD的帳號
是我哪裡漏設定嗎?

hsiang11 iT邦好手 1 級 ‧ 2022-04-14 23:34:34 檢舉

感覺這問題有些怪撥號時來源帳號有帶出
但是來源群組都被判斷成N/A
sslvpn_login_unknown_user
再重連之後變帳號也帶出N/A
記錄描述 SSL VPN new connection 就只是產生這紀錄
就連線失敗了

竹本立里 iT邦好手 1 級 ‧ 2022-04-15 11:09:47 檢舉

Fortigate 的時間跟 AD 的時間一樣嗎?
今天剛好遇到 NAS 連AD時,網域認證失敗(之前連線跟認證都是正常的),結果只是NAS 時間慢 AD 5分種
重新設定NAS 的NTP 指向AD,讓兩邊時間同步之後就正常了

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

不明

【＊＊此則訊息已被站方移除＊＊】

bluegrass

iT邦高手 1 級 ‧ 2022-04-15 08:16:40

SSLVPN Portal, SSLVPN Settings, SSLVPN Firewall policy 都截圖來看看

mathewkl

iT邦高手 1 級 ‧ 2022-04-15 09:28:11

加入使用者的AD群組

在用戶認證用遠端LDAP手動把AD帳號一個一個加進去
然後在用戶群組用防火牆群組一個一個把帳號放進去，不要用遠端群組拉AD群組

這個BUG我撞過

立即登入回答

參賽組數

1064 組

團體組數

40 組

累計文章數

22199 篇

完賽人數

602 人

IT邦幫忙