faq обучение настройка
Текущее время: Пт мар 29, 2024 09:06

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  [ Сообщений: 17 ]  На страницу 1, 2  След.
Автор Сообщение
 Заголовок сообщения: Dlink DFL-860e RADIUS и группы AD
СообщениеДобавлено: Вт окт 08, 2013 15:39 
Не в сети

Зарегистрирован: Пн сен 23, 2013 14:38
Сообщений: 19
Здравствуйте Коллеги.

Есть железка Dlink DFL-860e.
Настроил аутентификацию через RADIUS поднятый на Window Server 2008.
Аутентификация проходи на ура.

Когда я в Objects\Address Book\InterfaceAddresses создаю "IP4 addres" диапазон подсети а на вкладке "User Authentication" ставлю галку в поле "No defined credentials", пользователи домена на своих рабочих станциях вводят доменный логин и пароль и имеют доступ в Интернет.
Естественно написано правило в IP Rules где для этого объекта разрешен доступ в Интернет (NAT_HTTP)

Но мне хочется давать доступ не всем пользователям домена а только членам определенных групп домена.
Я снимал галку в поле "No defined credentials" и пытался прописывать названия групп домена в поле "Comma-separated list of user names and groups:" но ничего не получается, нет аутентификации. При том если в поле пишу доменное имя пользователя то этот пользователь может пройти аутентификацию и получить доступ в Интернет.

Подскажите как настроить возможность ограничения доступа до пользователей определенных групп домена?
Может нужно сделать особые настройки в RADIUS?


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Dlink DFL-860e RADIUS и группы AD
СообщениеДобавлено: Ср окт 09, 2013 22:58 
Не в сети

Зарегистрирован: Чт дек 07, 2006 15:42
Сообщений: 8502
Откуда: RareSoftware.ru
Если есть возможность, можно RADIUS серверу указать base CN на группу с нужными юзерами.
Вообще говоря, группы пользователя с RADIUS вполне работают на DFL - проверяли с FreeRADIUS.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Изображение


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Dlink DFL-860e RADIUS и группы AD
СообщениеДобавлено: Чт окт 10, 2013 10:25 
Не в сети

Зарегистрирован: Пн сен 23, 2013 14:38
Сообщений: 19
danilovav писал(а):
Если есть возможность, можно RADIUS серверу указать base CN на группу с нужными юзерами.
Вообще говоря, группы пользователя с RADIUS вполне работают на DFL - проверяли с FreeRADIUS.


Подскажите, пожалуйста, в каком формате я должен вводить имена групп домена в поле "Comma-separated list of user names and groups:"


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Dlink DFL-860e RADIUS и группы AD
СообщениеДобавлено: Чт окт 10, 2013 22:44 
Не в сети

Зарегистрирован: Чт дек 07, 2006 15:42
Сообщений: 8502
Откуда: RareSoftware.ru
Вы не поверите - группы, как они есть на сервере, через запятую :D

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Изображение


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Dlink DFL-860e RADIUS и группы AD
СообщениеДобавлено: Пн окт 14, 2013 10:52 
Не в сети

Зарегистрирован: Пн сен 23, 2013 14:38
Сообщений: 19
Не проходит.

Даже сделал аутентификацию через LDAP а результат тот же.
Пишу Domain\User_Name все отлично.
Пишу Domain\Group_Name (пользователь конечно в группе) и не пускает.

У кого есть какие идеи, напишите!


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Dlink DFL-860e RADIUS и группы AD
СообщениеДобавлено: Вт окт 15, 2013 08:38 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Ср июл 04, 2007 13:48
Сообщений: 7031
Откуда: D-Link. Moscow
Вам надо создать специальный атрибут в радиусе, который DFL понимает как группа.

Собственно вот пример. https://cloud.dlink.ru/owcl/public.php? ... ed034b04f6

_________________
Сообщения в PM игнорируются, задавайте вопросы на форуме.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Dlink DFL-860e RADIUS и группы AD
СообщениеДобавлено: Вт окт 15, 2013 16:20 
Не в сети

Зарегистрирован: Пн сен 23, 2013 14:38
Сообщений: 19
Все сделал согласно инструкции но результат тот же, правда в логах заметил следующую запись

2013-10-15
17:08:07 Notice USERAUTH
3700102
192.168.1.10

user_login

idle_timeout=1800 session_timeout=0 groups="authed" authrule=test_RADIUS authagent=HTTPAuth authevent=login username="garant\blinov"

Смущает выделенная запись. Это значение я вводил в значениях атрибута при настройке RADIUS.
Может я в этих значениях ошибся?


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Dlink DFL-860e RADIUS и группы AD
СообщениеДобавлено: Вт окт 15, 2013 22:46 
Не в сети

Зарегистрирован: Чт дек 07, 2006 15:42
Сообщений: 8502
Откуда: RareSoftware.ru
Это вы такие группы получили с RADIUS, смотрите как сделали, повторяйте как надо.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Изображение


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Dlink DFL-860e RADIUS и группы AD
СообщениеДобавлено: Ср окт 16, 2013 11:27 
Не в сети

Зарегистрирован: Пн сен 23, 2013 14:38
Сообщений: 19
Я вношу в значение этого атрибута название групп и он их передает устройству, устройство его понимает это конечно хорошо.
Но вопрос в том что не кто не проверяет а пользователь находится в этой доменной группе или нет!
Хотелось бы чтобы правило срабатывало только для пользователей находящихся в определенных группах.
Можно это реализовать и как?


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Dlink DFL-860e RADIUS и группы AD
СообщениеДобавлено: Ср окт 16, 2013 23:20 
Не в сети

Зарегистрирован: Чт дек 07, 2006 15:42
Сообщений: 8502
Откуда: RareSoftware.ru
Попробуйте ограничить выбор пользователей при запросе в АД выбором членов группы.
Как это делается - за пределами данного форума, пробуйте.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Изображение


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Dlink DFL-860e RADIUS и группы AD
СообщениеДобавлено: Пт мар 20, 2015 17:23 
Не в сети

Зарегистрирован: Пт мар 20, 2015 11:20
Сообщений: 3
Sergey Vasiliev писал(а):
Вам надо создать специальный атрибут в радиусе, который DFL понимает как группа.

Собственно вот пример. https://cloud.dlink.ru/owcl/public.php? ... ed034b04f6


Уже потёрли :(
Можно выложить заново?


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Dlink DFL-860e RADIUS и группы AD
СообщениеДобавлено: Пт июл 21, 2017 10:42 
Не в сети

Зарегистрирован: Чт июл 20, 2017 12:23
Сообщений: 6
Столкнулся с анологичной проблемой, только на DFL-870, но это не важно. Пример про специальный атрибут в радиусе, выложите пожалуйста.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Dlink DFL-860e RADIUS и группы AD
СообщениеДобавлено: Пт июл 21, 2017 11:18 
Не в сети

Зарегистрирован: Вт июл 10, 2007 12:42
Сообщений: 7188
Откуда: Екатеринбург
Обратитесь к Сергею Васильеву в личку с этой просьбой. Думаю, это вернее.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Dlink DFL-860e RADIUS и группы AD
СообщениеДобавлено: Пн июл 24, 2017 09:35 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Ср июл 04, 2007 13:48
Сообщений: 7031
Откуда: D-Link. Moscow
Обновил пример https://cloud.dlink.ru/owcl/index.php/s/EQip3S2ujtOB5tJ

_________________
Сообщения в PM игнорируются, задавайте вопросы на форуме.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Dlink DFL-860e RADIUS и группы AD
СообщениеДобавлено: Пн июл 24, 2017 12:16 
Не в сети

Зарегистрирован: Чт июл 20, 2017 12:23
Сообщений: 6
Sergey Vasiliev писал(а):

Sergey Vasiliev не пойму где и какой атрибут, что бы DFL распознавал как группу?


Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  [ Сообщений: 17 ]  На страницу 1, 2  След.

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 29


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB