Zum Inhalt wechseln


Foto

Sonicwall LDAP


  • Bitte melde dich an um zu Antworten
12 Antworten in diesem Thema

#1 0815newby

0815newby

    Newbie

  • 17 Beiträge

 

Geschrieben 19. Oktober 2016 - 15:17

Hey,

 

ich möchte in meiner Sonicwall LDAP integrieren. Ziel ist es eine best. Gruppe zu importieren, in denen alle User enthalten sind, die Admin-Rechte dafür bekommen sollen.

 

Falls später ein User dieser Gruppe zugewiesen wird, soll er ebenso Adminrechte bekommen, ohne dass ich Ihnen neu importieren muss.

 

Ist dies prinzipiell möglich?

 

Gruß Linus 



#2 Dunkelmann

Dunkelmann

    Expert Member

  • 1.862 Beiträge

 

Geschrieben 19. Oktober 2016 - 20:04

Moin,

 

die Gruppe muss AFAIK der Konvention von Sonicwall folgen. Also "SonicWALL Administrators" oder "SonicWALL Read-Only Admins" heißen.

 

btw: Ich würde ungerne LDAP verwenden wollen und Radius für die Authentifizierung der Administratoren nutzen.


Keep It Small - Keep It Simple


#3 NorbertFe

NorbertFe

    Expert Member

  • 30.934 Beiträge

 

Geschrieben 19. Oktober 2016 - 21:27

Darf man erfahren, was gegen ldaps spricht? Hab ab und an solche Kundenanfragen :)

Make something i***-proof and they will build a better i***.


#4 0815newby

0815newby

    Newbie

  • 17 Beiträge

 

Geschrieben 20. Oktober 2016 - 07:23

Ich habe jetzt meine admin-Gruppe (ldap) importiert und der "SonicWALL Administrators" zugewiesen. Dennoch haben die die User der Admingruppe keine Berechtigung, folgende Meldung:

" User login denied - User has no privileges for login from that location"

 

Ich habe das Gefühl, dass der Import der Gruppe nicht die entspr. User mitimportiert.



#5 Dunkelmann

Dunkelmann

    Expert Member

  • 1.862 Beiträge

 

Geschrieben 20. Oktober 2016 - 13:00

Darf man erfahren, was gegen ldaps spricht? Hab ab und an solche Kundenanfragen :)

Gegen LDAPS spricht weniger als gegen LDAP ;)

 

Bei Radius sehe ich den Vorteil, dass keine Appliance - besonders eine am Edge - direkt mit meinen DCs reden muss. Ich benötige dort keinen dummy User zum browsen im AD, ich kann das AD umbauen oder umsortieren ohne mir über hinterlegte Suchpfade gedanken zu machen.

Über Radius kann ich nicht nur die Verwaltung von Firewalls lösen, sondern mit wenig Aufwand das gleiche Backend auch für die Administration anderer (Netzwerk-)Geräte nutzen. Switches, WiFi Controller, USV, Gebäudemanagement - solange ich nichts aus der Wühlkiste nehme, bieten viele eine Radiusauthentifizierung für Admins und/oder Benutzer an.

 

Je nach Art und Umfang der Integration gibt es auch andere Benefits.

Da wäre die Nutzung von Radius Standardattributen (bspw. session/idle timeout, logon hours) oder herstellerspezifischen Attributen wie dynamische Gruppenzuweisung über den Radius ohne dass ich jede Appliance einzeln Konfigurieren muss.


Keep It Small - Keep It Simple


#6 NorbertFe

NorbertFe

    Expert Member

  • 30.934 Beiträge

 

Geschrieben 20. Oktober 2016 - 13:03

OK danke für die Infos.

Make something i***-proof and they will build a better i***.


#7 0815newby

0815newby

    Newbie

  • 17 Beiträge

 

Geschrieben 20. Oktober 2016 - 14:24

Danke für die Infos.

In meiner Testumgebung kann ldap laufen, später im produktiven werde ich natürlich ldaps einsetzen.

 

Wie ich vermutet habe, erkennt die Sonicwall beim Import nicht, ob eine Gruppe Mitglieder besitzt oder nicht. Jetzt ist die Frage ob es am ldap-server liegt oder an der Sonicwall. 



#8 NorbertFe

NorbertFe

    Expert Member

  • 30.934 Beiträge

 

Geschrieben 20. Oktober 2016 - 14:29

Dazu muß der LDAP Bind User auch das Recht haben, diese Info per Ldap auszulesen.

Make something i***-proof and they will build a better i***.


#9 zahni

zahni

    Expert Member

  • 16.513 Beiträge

 

Geschrieben 20. Oktober 2016 - 14:41

Aus der Erinnerung laufen  LDAP-Abfragen auch anders ab:

Der User Authentifiziert sich irgendwie (z.B. auch per LDAP) und dann wird  entweder direkt mit diesem User oder mit  einem  technischen User  das betreffende Konto abgefragt.

Default ist in AD  eigentlich, dass jeder User der Gruppe "Domain Users" das  Recht besitzt das Attribut memberof eines Users abzufragen. Nun kann der LDAP-Client mit diesen Daten machen was er für richtig  hält.

Die entsprechenden AD Gruppen könnten man im LDAP-Client z.B. auch manuell anlegen...


Wen du nicht mit Können beeindrucken kannst, den verwirre mit Schwachsinn!


#10 NorbertFe

NorbertFe

    Expert Member

  • 30.934 Beiträge

 

Geschrieben 20. Oktober 2016 - 14:46

Hi, nein ein normaler Nutzer hat nicht das Recht "Member_of" abzufragen. Das muß man explizit delegieren und zwar auf alle Benutzer. Es wird also nicht die Gruppe abgefragt, sondern die Nutzer. ;)

Make something i***-proof and they will build a better i***.


#11 zahni

zahni

    Expert Member

  • 16.513 Beiträge

 

Geschrieben 25. Oktober 2016 - 07:56

Komisch, bei uns ist  das so. Muss wohl am AD liegen. Das stammt aus Windows 2000-Zeiten.

Ich habe hier  div. technische User für LDAP-Abfragen (für Java-Server-Anwendungen), die ohne Probleme so das "Memberof"-Attribut abfragen können.


Wen du nicht mit Können beeindrucken kannst, den verwirre mit Schwachsinn!


#12 NorbertFe

NorbertFe

    Expert Member

  • 30.934 Beiträge

 

Geschrieben 25. Oktober 2016 - 08:21

Mach mal die Gruppe der Pre-Windows2000 User leer ;)

Make something i***-proof and they will build a better i***.


#13 0815newby

0815newby

    Newbie

  • 17 Beiträge

 

Geschrieben 25. Oktober 2016 - 09:27   Lösung

Ich hab vergessen zu erwähnen, dass mein LDAP-Server auf Linux läuft. 

 

Wenn ich über die Sonicwall eine Testanmeldung durchführe, erhalte ich folgende "Returned User Attributes":

uid: user1
dn: uid=user1,ou=people,dc=domain,dc=local

Bearbeitet von 0815newby, 25. Oktober 2016 - 09:28.