Authentification LDAP pour SonicWALL VPN


10

J'essaie de configurer mon SonicWALL pour autoriser l'authentification LDAP pour les utilisateurs VPN. Je l'ai déjà fait avec un autre appareil, et je me souviens que c'était assez simple. Mais je ne peux pas le faire fonctionner cette fois pour la vie de moi.

Lorsque j'active le mode "LDAP + Utilisateurs locaux", saisis les informations du serveur LDAP et les noms des groupes AD, j'obtiens constamment des erreurs "Échec de l'authentification LDAP" ou "Informations d'identification non valides sur le serveur LDAP". J'ai essayé toutes les différentes permutations de paramètres qui ont du sens pour moi, avec les mêmes résultats. Le support SonicWALL n'est pour l'instant d'aucune aide. J'ai suivi les instructions de leur manuel à un T, sans solution.

Quelqu'un ici a-t-il eu la même situation? J'ai l'impression de manquer un réglage quelque part ...

Réponses:


15

C'est peut-être un petit confort, mais ça marche pour nous. Le serveur est Windows Server 2003 R2 et le SonicWALL a SonicOS Enhanced 4.2.0.1-12e.

Voici les paramètres:

  • Méthode d'authentification pour la connexion: LDAP + utilisateurs locaux
  • Onglet Serveur LDAP:
    • Choisissez «Donner un nom distinctif lié»
    • Lier le nom distinctif: sonicwall_ldap@OURDOMAIN.local(un utilisateur que nous avons créé pour permettre au SonicWALL de lire LDAP)
    • Utiliser TLS (SSL) vérifié
      • Envoyer la demande LDAP «Démarrer TLS»: cochée
      • Exiger un certificat valide du serveur: non coché (nous utilisons un certificat auto-signé)
      • Certificat local pour TLS: aucun
  • N'a pas configuré RADIUS comme solution de repli.

Maintenant, avant que vos connexions ne fonctionnent, vous devez vous rendre dans l'onglet Répertoire et cliquer sur «Configuration automatique». Si la configuration automatique échoue, assurez-vous que le nom d'utilisateur et le mot de passe LDAP de SonicWALL (par exemple sonicwall_ldap@OURDOMAIN.local) sont corrects.

Après avoir effectué la configuration automatique, assurez-vous que «Arbres contenant des groupes d'utilisateurs:» inclut la section de votre arborescence AD ​​qui contient les utilisateurs qui se connecteront. Une fois que vous avez fait cela, dans l'onglet «Test», vous devriez pouvoir tester avec:

  • Utilisateur: username( Remarque: ** le nom de domaine AD ne doit pas ** être inclus dans le nom d'utilisateur car SonicWALL recherchera les contextes utilisateur spécifiés dans l'onglet Répertoire).
  • Mot de passe: (leur mot de passe)

Avez-vous accordé des droits / groupes spéciaux à l'utilisateur sonicwall_ldap?
Kara Marfia

Non. C'est un membre régulier des utilisateurs du domaine. (Ouais, je devrais probablement supprimer cette adhésion et la remplacer par quelque chose de plus restrictif, qui ne permet que LDAP de fonctionner.)
Nate

Bien décrit! Très bonne réponse!
geoffc

Hmm ... lorsque j'entre les paramètres que vous avez, je reçois toujours "Échec de l'authentification LDAP" lorsque j'exécute une connexion de test. Tout semble correct. Lorsque je vais dans l'onglet Répertoire et que je me configure automatiquement, les arbres se remplissent tous correctement, c'est juste le test qui échoue constamment.
colemanm

3
J'ai compris le problème et je me sens par conséquent comme un idiot. Vous connaissez cette case à cocher dans la zone principale des paramètres utilisateur qui dit "Noms d'utilisateur sensibles à la casse"? Eh bien, cela a été vérifié. J'ai décoché et les choses fonctionnent maintenant. Le problème est que lorsque quelqu'un a initialement configuré l'AD, les comptes d'utilisateurs ont été écrits au format "John.Doe", je testais avec "john.doe". Les nouveaux comptes que j'ai créés sont tous en minuscules, c'est pourquoi ils ont fonctionné. La respect de la casse n'a jamais d'importance lors de l'utilisation de l'authentification AD / Windows, mais c'est certainement le cas avec LDAP brut. Merci tout le monde.
colemanm
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.