Не работает идентификация по пользователям AD в АТР500

MPerov

Так и не удалось ничего решить?

MPerov

Если я использую доменную аутентификацию для авторизации пользователей VPN - то все отлично работает и без всякого SSO и ошибок. 
Просто добавляю доменную группу пользователей в пользователя ext-group-user, авторизую через ААА сервер своей AD и все отлично работает... Группу для теста использовал ту же, что и для теста работы правил по пользователям...
Как получается, что для авторизации vpn пользователей шлюз отлично лезет в AD, проверяет и идентифицирует пользователя, а то же самое в рамках управления правилами "Policy Control" сделать не может?

Zyxel_Andrew

MPerov said:

Вход на DC выполняется успешно, но в агенте логов на эту тему нет...

Я как то пропустил, что в скриншоте с сервера вы показали выход из домена (id=4634) - https://us.v-cdn.net/6029482/uploads/editor/84/edf4dj1n9y8m.jpg
Тогда как для событий входа в логе DC должны быть события с id = 4768. Проверьте, есть ли такие логи в журнале DC при каждом входе пользователя в домен?

Zyxel_Andrew

MPerov said:

Как получается, что для авторизации vpn пользователей шлюз отлично лезет в AD, проверяет и идентифицирует пользователя, а то же самое в рамках управления правилами "Policy Control" сделать не может?

Потому что для проверки правилами "Policy Control" пользователь должен быть зарегистрирован шлюзом и находится в таблице пользователей шлюза, т.е. шлюз должен знать его IP адрес, так как правила политик работают в итоге не по пользователям, а по IP адресам и информацию о соответствии шлюз берет именно из свой таблицы зарегистрированных пользователей.

MPerov

MPerov

Во вкладке Log on user list SSO агента отображаются залогиненные пользователи, но почему-то далеко не все...
Приложил скрин аудита входа пользователя не тестовую машину - имя ПК, с которого был произведен вход отображается, а имя пользователя, который вошел - нет!!! Возможно, дело в этом... но почему оно не отображается?

MPerov

MPerov

На другой машине вошел - логин появился и в AD  и в sso агенте. Но политика все равно не хочет работать (

Zyxel_Andrew

На сколько я вижу с последнего нашего обсуждения этой проблемы у вас есть очевидный прогресс некоторые пользователи уже появляются в списке агента SSO. 
В логах с сервера обратите внимание на код события. SSO агент входом в домен считает только события с id = 4768, только эти события перехватываются SSO агентом и на основании только их происходит регистрация пользователя и дальнейшая передача информации на шлюз.
Для машин, с которых вход в домен не регистрируется агентом, проверьте, что они могут пинговать сервер и что они не используют кэшированный вход ( https://docs.microsoft.com/en-us/troubleshoot/windows-server/user-profiles-and-logon/cached-domain-logon-information )

MPerov said:

На другой машине вошел - логин появился и в AD  и в sso агенте. Но политика все равно не хочет работать (

Проверьте таблицу пользователей на шлюзе, появился ли там этот пользователь. Если нет, проверяйте лог агента и шлюза, надо искать причину по которой агент не передает информацию на шлюз.

MPerov