Не работает идентификация по пользователям AD в АТР500
All Replies
-
Я напомню, что если делать проверку по пользователям в AD через WEB интерфейс роутера - то все проходит на отлично. Он видит и пользователей, и определяет входит пользователь в группу или не входит. Как так может быть?0
-
Я имел в виду файрвол не на шлюзе, а на сервере.
Можете сделать и прислать захват при успешном тесте пользователя в ad профиле в веб-интерфейсе?
0 -
0 -
Вот правила на фаерволе сервера с AD.0
-
захват отправил в ЛС0
-
Смотрите, сервер сбрасывает не LDAP, а SMB запрос (tcp/445)
(скрин в ЛС)
С этого запроса обычно начинается процесс добавления шлюза в домен.
Можете проверить, что ваш сервер не добавляет шлюз в группу компьютеров как указано в статье https://support.zyxel.eu/hc/ru/articles/360013410180
0 -
Вот.. сейчас вот такой ответ:Router> _debug domain-auth test profile-name ad username atp500 password 123456Using short domain name -- AATJoined 'ATP' to dns domain 'aat.local'/usr/sbin/winbindd -s /var/zyxel//ZyXELad.confntlm_auth --username=atp500 --password=123456NT_STATUS_OK: Success (0x0)/usr/bin/killwinbind ZyXELad
То есть вроде как должно быть все ОК.. но нет...После этого ответа шлюз присоединился к домену и появился в группе "Computers", однако правило по пользователям все равно не работает (((0 -
Все-таки получается, что шлюз взаимодействует с доменом по небезопасной версии SMBv1 (пришлось его принудительно включить на контроллере)... Это действительно так? Если да - то это очень странно для современного оборудования.0
-
Я получил подтверждение разработчиков, что для ATP и USG FLEX эта проблема будет решена в версии 4.60 которая ожидается к выпуску в конце ноября - начале декабря.
В ней будет реализована поддержка SMBv2.0 -
А что по основному вопросу-то?
Ответа по подключению к АД я добился из CLI - он приведен выше.
Однако правило по пользователям все равно не работает.0
Ally Member
Zyxel Employee
