Nested LDAP-Groups mit FSSO

Nested Groups sind Gruppen die Mitglied einer Gruppe sind. Diese verschachtelten Gruppen werden im Zusammenhang mit FSSO nur unterstützt, wenn der Collector Agent im Advanced Mode arbeitet.
Einen Test der verschiedenen Modi zeigt auf, wie die Fortigate die Gruppenzugehörigkeiten sieht.

Getestet wurde mit FortiOS 5.0.6 und einer Windows AD. Im Active Directory ist der Testuser2 definiert, welcher Mitglied der Group2 ist. Die Group2 wiederum ist Mitglied der Group1.
Für die nachstehenden Tests ist die Group1 Mitglied der FSSO-Usergroup und der Output ist wie folgt:

FSSO-Polling-Mode (Agentless):

Die Fortigate erkennt das Login des Testuser2 nicht:

FortiGate-VM64 # diag debug auth fsso list
----FSSO logons----
Total number of logons listed: 0, filtered: 0
----end of FSSO logons----

FSSO-Agent Standard-Mode:

Die Fortigate sieht nur, dass der User Mitglied der Group2 ist. Dass die Group2 Mitglied der Group1 ist, wird nicht erkannt:

FortiGate-VM64 # diag debug auth fsso list
----FSSO logons----
IP: 192.168.1.20  User: TESTUSER2  Groups: 
DOMAIN/GROUP2+
DOMAIN/ADMINISTRATORS+
DOMAIN/USERS
Workstation: WIN08.DOMAIN.LOCAL 
Total number of logons listed: 1, filtered: 0
----end of FSSO logons----

FSSO-Agent Advanced-Mode:

Im Advanced Mode erkennt die Fortigate, dass der User Mitglied der Group2 und indirekt auch Mitglied der Group1 ist. Aus diesem Grund funktioniert die FSSO-Authentifizierung nur im Advanced-Mode:

FortiGate-VM64 # diag debug auth fsso list
----FSSO logons----
IP: 192.168.1.20  User: TESTUSER2  Groups:
CN=TESTUSER2,DC=DOMAIN,DC=LOCAL+
CN=GROUP2,DC=DOMAIN,DC=LOCAL+
CN=GROUP1,DC=DOMAIN,DC=LOCAL 
Workstation: WIN08.DOMAIN.LOCAL MemberOf: FSSO-Group1
Total number of logons listed: 1, filtered: 0
----end of FSSO logons----

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.