Настроил DFL-210 на аутентификацию пользователей, которые берутся из AD, для доступа в инет. Но, в Base Object указал подразделение, а не весь каталог, т.е. OU=подразделение,DC=домен,DC=ru, и все равно пользователи могут аутентифицироваться из всего каталога, а не только из указанного подразделения, что не есть гуд. Подскажите куда смотреть, может я чего то не понимаю или не знаю.

скриншоты настроек покажите плиз

_________________
если человек - идиот, то это надолго

хочется увидеть User Authentication Rules и IP rules

_________________
если человек - идиот, то это надолго

А причем тут это, в рулсах все настроено правильно, иначе юзеры из АД не могли бы аутентифицироваться. Вопрос ведь в другом, почему дфл видит весь каталог, а не указанное подразделение.

не покажете ?

_________________
если человек - идиот, то это надолго

Не вижу смысла.

"Суслика видишь? Неа. А он -есть..."

_________________
если человек - идиот, то это надолго

Ладно, уговорил :

- отличная работа, не придерёшься
- а если пользователь введёт неправильный пароль, в интернет пускает ?

_________________
если человек - идиот, то это надолго

естественно не пускает, иначе смысл тогда всего этого

А если воспользоваться доступом на группу (что вообщем-то правильнее), чем указывать просто DN контейнера.