ABA
יומן פעילות לוח שנה מבזקי חדשות תקנון RSS כותרות כותרות לפי תגובה ניקוי קוקיז IP להורדת אפליקציה


"מחפש מישהו תותח ב Fortigate"
גירסת הדפסה        
קבוצות דיון חומרה, רשתות ואבטחת מידע נושא #22829 מנהל    סגן המנהל    מפקח   Winner    צל"ש   מומחה  
אשכול מספר 22829
bmx-boy לחץ כאן להצגת דירוג המשתמש
חבר מתאריך 1.8.02
3009 הודעות, 2 פידבק		   12:11   08.03.15   
אל הפורום  
  מחפש מישהו תותח ב Fortigate  
 
   יש לי בעיה בהגדרת SSL VPN.

נגיד נתתי הרשאות Full Access,
ב User>Group יש קבוצה שנקראת Full_Access,
כאשר אני מכניס ב Remote authentication servers את השרת שלי ומסמן Any בקבוצות, זה נכנס בלי בעיה ונותן לי גישה מלאה לרשת.

כאשר אני מסמן Specific ורושם שם של קבוצה ב AD, הוא לא נותן לי להתחבר (מציג לי שהשם משתמש והסיסמא שגויים).
ב Forti הוא מראה לי ב Event Log,
SSL user failed to logged in
Reason no_matching_policy


הלכתי ובדקתי את הלוגים של ה NPS,
כשאני מתחבר בהצלחה (כאשר ה Remote authentication servers נמצא על Any) וגם כשאני לא מצליח להתחבר (כאשר ה Remote authentication servers נמצא על Specific ומפנה לקבוצה מסויימת) הבקשה היא זהה לחלוטין!

וגם בלוגים רשום
Network Policy Server granted full access to a user because the host met the defined health policy.
גם כשאני מצליח להתחבר וגם כשאני לא מצליח להתחבר..
אז על איזו Policy הוא מדבר ב Firewall שהיא לא תואמת?







                                שתף        
מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד

  האשכול     מחבר     תאריך כתיבה     מספר  
  אתה יכול להלעות צילום מסך של הגדרות הפיירוול בפורטי? yonigrin 08.03.15 13:15 1
     יש לי כזה Rule, בטוח.. bmx-boy 08.03.15 13:45 2
         הRAS של וינדוז לא קשור פה. yonigrin 08.03.15 14:46 3
             כן והחיבור הוא Success bmx-boy 08.03.15 15:01 4
                 לדעתי, אתה צריך לכתוב את הGROUP בצורה של OU yonigrin 08.03.15 21:24 5
                     לא עובד, bmx-boy 09.03.15 11:09 6
                         אם אתה יכול צרף פה חלק מהקונפיגורציה שלך yonigrin 09.03.15 11:11 7
  פתרתי את הבעיה bmx-boy 09.03.15 11:45 8
     ברור שLDAP אם אתה עובד עם שרת WIN :) yonigrin 09.03.15 12:21 9

       
yonigrin לחץ כאן להצגת דירוג המשתמש
חבר מתאריך 13.10.07
4032 הודעות, 21 פידבק		   13:15   08.03.15   
אל הפורום  
  1. אתה יכול להלעות צילום מסך של הגדרות הפיירוול בפורטי?  
בתגובה להודעה מספר 0
 
   בגדול אתה צריך רול מהרגל החיצונית פנימה לסט כתובות שאתה רוצה לאפשר גישה אליו שה"action" שלו הוא SSLVPN.

מה שאני הכי אוהב בחברה הזו, זה התיעוד
http://video.fortinet.com/video/50/remote-access-with-ssl-vpn-web-tunnel-mode


                                                         (ניהול: מחק תגובה)
מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד
bmx-boy לחץ כאן להצגת דירוג המשתמש
חבר מתאריך 1.8.02
3009 הודעות, 2 פידבק		   13:45   08.03.15   
אל הפורום  
  2. יש לי כזה Rule, בטוח..  
בתגובה להודעה מספר 1
 
   אחרת לא הייתי מצליח להתחבר מהתחלה, לא?

הרי הדבר היחיד שאני משנה הוא החלק בו אני משייך Group מתוך ה FW ל Windows Group.
זה החלק היחיד שאני משנה,
כך שלא אמורה להיות בעיה מבחינת Routing Policy.


                                                         (ניהול: מחק תגובה)
מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד
yonigrin לחץ כאן להצגת דירוג המשתמש
חבר מתאריך 13.10.07
4032 הודעות, 21 פידבק		   14:46   08.03.15   
אל הפורום  
  3. הRAS של וינדוז לא קשור פה.  
בתגובה להודעה מספר 2
 
   כל מה שצריך מהשרת זה רשימת יוזרים בAD.
בפורטי הכנסת שם וסיסמה לחיבור לשרת?


                                                         (ניהול: מחק תגובה)
מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד
bmx-boy לחץ כאן להצגת דירוג המשתמש
חבר מתאריך 1.8.02
3009 הודעות, 2 פידבק		   15:01   08.03.15   
אל הפורום  
  4. כן והחיבור הוא Success  
בתגובה להודעה מספר 3
 
   שים לב,
אני רוצה לציין שוב כי אני חושב שאולי אתה מפספס פה משהו.
כשאני מגדיר Any זה למעשה אומר "כל עוד היוזר שייך לקבוצה כלשהיא ב AD".
כשאני מגדיר Specify זה למעשה אומר "כל עוד היוזר שייך לקבוצה הספציפית הזו ב AD".

כשזה על Any זה עובד פרפקט אבל אז למעשה אין לי הפרדה בין משתמשים Admin לבין סתם ספקים שאני נותן להם גישה.
כשזה על Specific זה בכלל לא עובד ואומר שהשם משתמש והסיסמא שגויים ומקבל את השגיאה של No Matching Policy.

אנא תקן אותי אם אני טועה..


ומכיוון שזה על Any, אז כל יוזר שתכניס נופל בעצם להגדרה הזו ומקבל גישה מלאה..


                                                         (ניהול: מחק תגובה)
מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד
yonigrin לחץ כאן להצגת דירוג המשתמש
חבר מתאריך 13.10.07
4032 הודעות, 21 פידבק		   21:24   08.03.15   
אל הפורום  
  5. לדעתי, אתה צריך לכתוב את הGROUP בצורה של OU  
בתגובה להודעה מספר 4
 
   למשל
"OU=Office Users,OU=Users,OU=MyBusiness,DC=contoso"


                                                         (ניהול: מחק תגובה)
מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד
bmx-boy לחץ כאן להצגת דירוג המשתמש
חבר מתאריך 1.8.02
3009 הודעות, 2 פידבק		   11:09   09.03.15   
אל הפורום  
  6. לא עובד,  
בתגובה להודעה מספר 5
 
   כבר חשבתי שזה הפיתרון, אבל לצערי זה לא עובד..
עדיין נותן שגיאה של no_matching_policy

רק כשזה נמצא על Any זה עובד..


                                                         (ניהול: מחק תגובה)
מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד
yonigrin לחץ כאן להצגת דירוג המשתמש
חבר מתאריך 13.10.07
4032 הודעות, 21 פידבק		   11:11   09.03.15   
אל הפורום  
  7. אם אתה יכול צרף פה חלק מהקונפיגורציה שלך  
בתגובה להודעה מספר 6
 
   החל מהשורה הבאה
config user ldap


                                                         (ניהול: מחק תגובה)
מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד
bmx-boy לחץ כאן להצגת דירוג המשתמש
חבר מתאריך 1.8.02
3009 הודעות, 2 פידבק		   11:45   09.03.15   
אל הפורום  
  8. פתרתי את הבעיה  
בתגובה להודעה מספר 0
 
   התשובה של yonigrin בסוף עזרה מאד!

עד עכשיו הגדרתי הכל כ Radius וכשעשיתי כאמור Specify לקבוצה מסויימת זה לא עבד.
שיניתי את ההגדרה לעבוד עם LDAP וכשהכנסתי שם של קבוצה בצורת ה Distinguished Name שלה, זה עובד!!

המון תודה חברים!
מעכשיו זה רק משחקים עם הרשאות ו Policy's כדי לאפשר לאנשים לגשת לאן שאני רוצה :-)


                                                         (ניהול: מחק תגובה)
מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד
yonigrin לחץ כאן להצגת דירוג המשתמש
חבר מתאריך 13.10.07
4032 הודעות, 21 פידבק		   12:21   09.03.15   
אל הפורום  
  9. ברור שLDAP אם אתה עובד עם שרת WIN :)  
בתגובה להודעה מספר 8
 
   שמח שהסתדרת. אין כמו fortinet


                                                         (ניהול: מחק תגובה)
מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד

תגובה מהירה  למכתב מספר: 
 
___________________________________________________________________

___________________________________________________________________
למנהלים:  נעל | תייק בארכיון | מחק | העבר לפורום אחר | מחק תגובות | עגן אשכול
       
דרג לפי חשיבות הנושא  דרג לפי חשיבות הנושא   



© כל הזכויות שמורות ל-רוטר.נט בע"מ rotter.net