Не работает идентификация по пользователям AD в АТР500
All Replies
-
Можете прислать файл конфигурации шлюза через ЛС? хотелось бы убедится в правильности настроек.0
-
Отправил сообщение с файлом через ваш профиль.0
-
Спасибо за файл конфигурации.
Я не вижу в нем настройки для "Domain Authentication for MSChap".
Добавьте эту настройку в ad профиль и пришлите дополненную конфигурацию с ответом шлюза на команду
_debug domain-auth test profile-name [ad profile name] username [username] password [password]0 -
А если я не хочу использовать MSChap? Или это обязательное условие?0
-
Сейчас использование MSChap является обязательным.
Можете сделать и прислать захват LDAP пакетов (port 389) на шлюзе во время теста через командную строку?
0 -
Отправил в ЛС0
-
Ни в одном из отправленных вами захватов нет ни одного пакета. Проверьте, что вы делаете захват с верного интерфейса. Добавьте туда ping со шлюза до сервера, что бы было видно, что сервер отвечает. Покажите скриншотом настройки шлюза при захвате пакетов.0
-
Отправил в ЛС.0
-
В захватах видно, что между шлюзом и сервером есть связь (ping), но при этом до LDAP общения дело не доходит (что видно из захвата ge4--packet-capture.0 (3).cap), так как на стандартный первичный SMB запрос к серверу "Negotiate Protocol Request" сервер сразу отвечает отказом (TCP/RST), что означает либо у него нет службы для ответа на такой запрос либо это ответ файервола с активным правилом Reject. Проверьте настройки файервола и заодно напишите, что у вас за AD сервер? Какая версия?0
-
Я ж вам отправлял конфиг роутера - там все правила видны. Даже на всякий случай сделал правило Lan_to_Lan без ограничений.
AD на 2019 Standart.0
Zyxel Employee
Ally Member
