Не проходит авторизация по группе AD для L2TP

Niviteka
Niviteka Публикаций: 17  Freshman Member
First Comment Friend Collector Fourth Anniversary
отредактировано апреля 2020 Раздел: Техническая поддержка

Zywall 310/fw 4.35(AAAB.3)

Для пользователей L2TP создана локальная группа L2TP-VPN-users в Zywall, куда помещаются те кому разрешен доступ в VPN (allowed users).

Была настроена авторизация по AD, в группу L2TP-users был добавлен внутренний пользователь ad-users. В результате все пользователи домена проходят авторизацию и подключаются.

Но как только пытаешься разрешить авторизацию только для пользователей, принадлежащих определенной группе AD (ext-group-user). Авторизация не проходит (в логах disallowed user)

Авторизация по группе сделана так - Создан пользователь AD-VPN типа ext-group-user. с настройками определяющими группу AD. При тестировании внутри пользователя тест проходит - статус OK.

Созданного пользователя (AD-VPN) добавили в группу разрешенных для VPN (L2TP-VPN-users), а встроенного пользователя ad-users из группы разрешенных удалили. После этого авторизация через AD не работает.


Accepted Solution

  • Niviteka
    Niviteka Публикаций: 17  Freshman Member
    First Comment Friend Collector Fourth Anniversary
    отредактировано апреля 2020 Ответ ✓
    После апдейта на V4.35(AAAB.3)ITS-WK13-r92843 проблема решилась, все заработало штатно, как задумывалось.
    Будем надеяться, что в следующем регулярном апдейте эту проблему тоже исправят.

All Replies

  • Zyxel_Andrew
    Zyxel_Andrew Публикаций: 568  Zyxel Employee
    50 Answers 500 Comments Friend Collector Fifth Anniversary
    Здравствуйте.

    Покажите, пожалуйста настройки выбранного для группового пользователя профиля AAA "ad-yt", а так же настройки метода аутентификации для L2TP VPN и настройки выбранного метода в Auth. Method.

  • Niviteka
    Niviteka Публикаций: 17  Freshman Member
    First Comment Friend Collector Fourth Anniversary

  • Zyxel_Andrew
    Zyxel_Andrew Публикаций: 568  Zyxel Employee
    50 Answers 500 Comments Friend Collector Fifth Anniversary
    Здравствуйте.

    Спасибо за скриншоты настроек. Проверьте так же, что у Вас нет конфликта пользователей (локальных с доменными).
    Можете проверить так же с настроенной Domain Authentication for MSChap (проверка подлинности домена для MSCHAP). 
    Проверить настройки AD по статье: 
    Как подключиться к домену Active Directory с помощью USG / ATP / VPN
    И проверить правильность настроек AD на шлюзе по статье: проверка подлинности пользователя AD (active directory) 

    Если по прежнему проблема сохранится, то сделайте захват пакетов на интерфейсе через который шлюз общается с AD сервером и пришлите нам (либо тут в ЛС или можете открыть заявку в системе поддержке  
  • Niviteka
    Niviteka Публикаций: 17  Freshman Member
    First Comment Friend Collector Fourth Anniversary
    отредактировано апреля 2020 Ответ ✓
    После апдейта на V4.35(AAAB.3)ITS-WK13-r92843 проблема решилась, все заработало штатно, как задумывалось.
    Будем надеяться, что в следующем регулярном апдейте эту проблему тоже исправят.