blog.andreas-schreiner.de

Wissen ist Macht. Nichts wissen macht nichts.

SSL VPN Zugang per LDAP Attribut Filter

von · Veröffentlicht · Aktualisiert

Wer ein AD betreibt und nur einen VPN Zugang über die FortiGate anbietet, der kann auf einfachem Weg Attribute der AD User Objekte verwenden, um zu steuern, wer sich remote anmelden darf. Die Pflege eine zusätzlichen AD Gruppe entfällt dadurch.

In unserem Beispiel möchten wir Benutzern den SSL-VPN Zugang erlauben, deren Dial-In Attribute in den Einstellungen des AD User Objekts gesetzt ist (msNPAllowDialin = TRUE); das macht am meisten Sinn.

Zuerst legen wir dazu auf der FortiGate per CLI einen entsprechenden LDAP Server mit der Option member-attr an.

config user ldap
  edit ldap_dialin
    set server <Domain-Controller IP>
    set cnid sAMAccountName
    set dn "DC=<Domain>,DC=<TLD>"
    set type regular
    set username <LDAP Service Account>@<Domain>.<TLD>
    set password <LDAP Service Account Password>
    set member-attr msNPAllowDialin
  next
end

Im Anschluss benötigen wir eine FortiGate User Gruppe. Sobald diese Gruppe angelegt ist, können sich die Benutzer mit gesetztem Dial-In Attribut an der FortiGate authentifizieren.

config user group
  edit ldap_dialin_group
  set member ldap_dialin
  config match
    edit 1
      set server-name ldap_dialin
      set group-name TRUE
    next
  end
end

Zum Abschluss erlauben wir der neu angelegten User Gruppe, sich am SSL VPN Portal zu authentifizieren.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre, wie deine Kommentardaten verarbeitet werden.