Gruppen werden bei LDAP nicht erkannt

Started by ziede0815, May 12, 2025, 06:48:42 PM

Previous topic - Next topic
Print
Go Down Pages1
User actions
May 12, 2025, 06:48:42 PM
Moin,

ich habe eine OPNsense Firewall die unterschiedliche VPN-Einwahen zur verfuegung stellen soll.
Meint: Es gibt eine Gruppe fuer Einwahlrecht bei der per VPN auf alle Netze der Firewall zugefriffen werdenen darf und eine Gruppe bei der der Zugriff auf definierte Netzwerke beschraenkt ist.
Die user sind Zentral in einem Univention Server verwaltet welche LDAP anbietet.
Den LDAP-Servre habe ich eingestellt bekommen und die Benutzer werden auch authentifiziert.
Was leider nicht geht ist das die Gruppen (This user is member of these groups) nicht erkannt werden.
Die Benoetigten Gruppen habe ich sowohl in Univention als auch in der Firewall angelegt (z.B. "GRP-VPN-IT").
Hat von euch jemand einen heissen Tip, wie ich die Firewall dazu bringe die Gruppen zu erkennen?

--> Schnipp <--
System: Access: Tester

User: it authenticated successfully.
This user is a member of these groups:


Attributes received from server:
dn => uid=IT,cn=users,dc=DRK-KV-WEM,dc=de
memberof => cn=Administrators,cn=Builtin,dc=DRK-KV-WEM,dc=de
cn=Domain Guests,cn=groups,dc=DRK-KV-WEM,dc=de
cn=Domain Users,cn=groups,dc=DRK-KV-WEM,dc=de
cn=GRP-IT,cn=groups,dc=DRK-KV-WEM,dc=de
cn=GRP-RDP,cn=groups,dc=DRK-KV-WEM,dc=de
cn=Guests,cn=Builtin,dc=DRK-KV-WEM,dc=de
cn=Domain Admins,cn=groups,dc=DRK-KV-WEM,dc=de
cn=GRP-VPN-IT,cn=groups,dc=DRK-KV-WEM,dc=de
...
--> Schnapp <--
May 12, 2025, 07:19:02 PM #1
Ich benutze da im Authentication Server einen extended query, der auf "memberOf=cn=GRP-VPN-IT" filtert.
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
May 14, 2025, 01:11:52 PM #2
Moin,

mit dem Eintrag "memberOf=cn=GRP-VPN-IT" konnte keine authentifizierung mehr durchgefuehrt werden,
mit dem Eintrag "memberOf=cn=GRP-VPN-IT,cn=Groups,dc=drk-kv-wem,dc=de" koennen User in der Gruppe autentifiziert werden.
Leider wird dennoch keine Gruppenzugehoerigkeit angezeigt. Auch ein Eintrag bei "Default groups" brachte an der Stelle keine Besserung.
Allerdings muss ich zwei Gruppen unterscheiden da die Berechtigungen fuer unterschiedliche VPN-Zugaenge Gruppenabhaengig sein sollen.

Wenn ich "automatic user creation" anhacke wird bei der ersten Anmeldung zwar ein user mit der Passenden Gruppe erstellt jedoch behaelt er die Gruppe auch wenn ich sie im LDAP bei dem user herausnehme...
May 14, 2025, 01:21:31 PM #3
Leg zwei VPN-Server mit jeweils einem passenden LDAP-Filter an, dann kannst du getrennt Firewall-Regeln einrichten. Regeln per Gruppe existieren m.W. sowieso nicht.
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
Print
Go Up Pages1
User actions