假設AD架構如下
Domain Name:Tw.TestDomain.Local
新增4個account:user1、user2、admin1、admin2
新增2個Group:Gusers、Gadmins
新增2個OU:Admins、Acc
將「user1」及「user2」加入「Gusers」的Gruoup
將「admin1」及「admin2」加入「Gadmins」的Gruoup
將「user1」及「Gusers」移至預設的「Users」的Container
將「admin1」及「Gadmins」移至新增的「Admins」的OU
將「user2」及「admin2」移至「Acc」的OU
已參考下列篇說明進行設定
如何搭配LDAP/AD 伺服器進行使用者上網驗證?
Vigor支援LDAP驗證的設定方法
Vigor3900 User Management 套用 LDAP / Active Directory 做上網彈出驗證視窗的設定方法
若「General Setup」已設定好Regular Mode、Regular DN/Password,且可正常query AD的資料
依下列方式進行測試
一、 Base Distinguished Name:OU=Acc,DC=Tw,DC=TestDomain,DC=Local
「ACC」的OU中只有「user2」及「admin2」二個Account物件,沒有Group物件
「user2」及「admin2」二個Account都可通過驗證。
二、 Base Distinguished Name:CN=Users,DC=Tw,DC=TestDomain,DC=Local
裡面有「user1」的Account物件及「Gusers」的Group物件
「user1」可通過驗證,但屬於「Gusers」成員的「user2」則驗證失敗。
三、 Base Distinguished Name:CN=Gusers,CN=Users,DC=Tw,DC=TestDomain,DC=Local
直接選取「Gusers」的Group物件
屬於「Gusers」成員的「user1」及「user2」皆驗證失敗。
四、 Base Distinguished Name:OU=Admins,DC=Tw,DC=TestDomain,DC=Local
裡面有「admin1」的Account物件及「Gadmins」的Group物件
「admin1」可通過驗證,但屬於「Gadmins」成員的「admin2」則驗證失敗。
五、 Base Distinguished Name:CN=Gadmins,CN=Admins,DC=Tw,DC=TestDomain,DC=Local
直接選取「Gadmins」的Group物件
屬於「Gadmins」成員的「admin1」及「admin2」皆驗證失敗。
結論:無論如何設定,皆無法針對特定群組(Group)內的所有帳號(Account)進行驗證
也就是說,只能套用到OU或Container底下的Account物件;無法套用Group物件
請問,是否有哪裡該注意的地方?還是Draytek的設備不提供AD Group物件的驗證?
謝謝~
Vigor 2920Vn使用者AD驗證問題
5 篇文章
• 第 1 頁 (共 1 頁)
Vigor 2920Vn使用者AD驗證問題
由 ctwivan » 週三 5月 21日, 2014年 2:31 pm
- ctwivan
- 文章: 8
- 註冊時間: 週二 8月 26日, 2008年 11:17 pm
- 送出感謝: 0 次
- 擁有感謝: 0 次
Re: Vigor 2920Vn使用者AD驗證問題
由 門神 » 週三 5月 21日, 2014年 3:17 pm
FYI
免換無線AP全省分店手機電腦上網一起管理
http://www.ublink.org/index.php/compone ... 70-ap.html
同一個OU要設定一個Profiles
如果有5個OU就要設定5個
免換無線AP全省分店手機電腦上網一起管理
http://www.ublink.org/index.php/compone ... 70-ap.html
同一個OU要設定一個Profiles
如果有5個OU就要設定5個
ps:求助順序請直接
(1)電洽 04-2260-5121 / 0963-685-121
(2)http://line.naver.jp/ti/p/%40xat.0000132120.jmw 技術客服 LINE
(3)問題請優先洽詢 help@ublink.org
Telegram 頻道 Channel https://t.me/ublinkorg 韌體更新發佈
其他線上聯絡方式,http://www.ublink.org/index.php/contact
(1)電洽 04-2260-5121 / 0963-685-121
(2)http://line.naver.jp/ti/p/%40xat.0000132120.jmw 技術客服 LINE
(3)問題請優先洽詢 help@ublink.org
Telegram 頻道 Channel https://t.me/ublinkorg 韌體更新發佈
其他線上聯絡方式,http://www.ublink.org/index.php/contact
Re: Vigor 2920Vn使用者AD驗證問題
由 ctwivan » 週三 5月 21日, 2014年 3:48 pm
您好,這篇在下也有參考過,也瞭解一個OU要設定一個profile
但目前在下有疑問的是,為何無法驗證「Group」物件底下的「Account」成員?
上述五個情況是分開設定的,每次只設定一個Profile進行測試
以第四種情況來看
1.已指定OU=Admins:
Base Distinguished Name:OU=Admins,DC=Tw,DC=TestDomain,DC=Local
2.「Admins」這個OU底下有二個物件,分別為
Group物件:「Gadmins」
Account物件:「admin1」
3.其中「Gadmins」內有成員「admin1」及「admin2」
測試結果如下:
Account物件:「admin1」可通過驗證
Account物件:「admin2」無法通過驗證
這意味著AD驗證是有效的,但
1.只有直接放置在OU底下的Account物件才可通過驗證。
2.非直接放置在OU底下的Account物件,即便它為OU底下的「Group」物件的成員,也無法通過驗證。
但目前在下有疑問的是,為何無法驗證「Group」物件底下的「Account」成員?
上述五個情況是分開設定的,每次只設定一個Profile進行測試
以第四種情況來看
1.已指定OU=Admins:
Base Distinguished Name:OU=Admins,DC=Tw,DC=TestDomain,DC=Local
2.「Admins」這個OU底下有二個物件,分別為
Group物件:「Gadmins」
Account物件:「admin1」
3.其中「Gadmins」內有成員「admin1」及「admin2」
測試結果如下:
Account物件:「admin1」可通過驗證
Account物件:「admin2」無法通過驗證
這意味著AD驗證是有效的,但
1.只有直接放置在OU底下的Account物件才可通過驗證。
2.非直接放置在OU底下的Account物件,即便它為OU底下的「Group」物件的成員,也無法通過驗證。
- ctwivan
- 文章: 8
- 註冊時間: 週二 8月 26日, 2008年 11:17 pm
- 送出感謝: 0 次
- 擁有感謝: 0 次
Re: Vigor 2920Vn使用者AD驗證問題
由 ctwivan » 週三 5月 21日, 2014年 4:11 pm
補充說明:
由於一般公司因Group Policy之不同,會將Account物件分散在各個OU底下,甚至是子OU底下;
再依各別權限,加入不同的Group (群組)物件。
已測試過Vigor2920Vn的profile並無法套用到子OU
因此若直接建在OU底下Account才可通過驗證,那麼需要設定的OU數量有很大的可能性超過Vigor2920Vn的profile限制(8個)。
若Draytek 的AD驗證功能可由Group(群組)物件遞延到該Group的成員,就可將分散在各的OU底下的Account加入到特定的Group(群組)物件中,再針對該Group(群組)物件設定即可。
由於在下使用過如Aruba、Websense、Microsoft ISA...等可整合AD驗證的設備/系統之經驗,都可達到此需求。
在下想確認的是,Draytek的設備是否可達到這樣的功能/目的?如果可以,是否有什麼地方是在下沒有注意到的?
謝謝~
由於一般公司因Group Policy之不同,會將Account物件分散在各個OU底下,甚至是子OU底下;
再依各別權限,加入不同的Group (群組)物件。
已測試過Vigor2920Vn的profile並無法套用到子OU
因此若直接建在OU底下Account才可通過驗證,那麼需要設定的OU數量有很大的可能性超過Vigor2920Vn的profile限制(8個)。
若Draytek 的AD驗證功能可由Group(群組)物件遞延到該Group的成員,就可將分散在各的OU底下的Account加入到特定的Group(群組)物件中,再針對該Group(群組)物件設定即可。
由於在下使用過如Aruba、Websense、Microsoft ISA...等可整合AD驗證的設備/系統之經驗,都可達到此需求。
在下想確認的是,Draytek的設備是否可達到這樣的功能/目的?如果可以,是否有什麼地方是在下沒有注意到的?
謝謝~
- ctwivan
- 文章: 8
- 註冊時間: 週二 8月 26日, 2008年 11:17 pm
- 送出感謝: 0 次
- 擁有感謝: 0 次
Re: Vigor 2920Vn使用者AD驗證問題
由 門神 » 週三 5月 21日, 2014年 4:50 pm
ctwivan 寫: 在下使用過如Aruba、Websense、Microsoft ISA...等可整合AD驗證的設備/系統之經驗,都可達到此需求。
這都是好幾萬的設備,相信他們可以做到
Vigor2920很便宜^^
新功能需求建議你連絡 support@draytek.com.tw
或是等我們和RD TEST試試
Thank you !!
ps:求助順序請直接
(1)電洽 04-2260-5121 / 0963-685-121
(2)http://line.naver.jp/ti/p/%40xat.0000132120.jmw 技術客服 LINE
(3)問題請優先洽詢 help@ublink.org
Telegram 頻道 Channel https://t.me/ublinkorg 韌體更新發佈
其他線上聯絡方式,http://www.ublink.org/index.php/contact
(1)電洽 04-2260-5121 / 0963-685-121
(2)http://line.naver.jp/ti/p/%40xat.0000132120.jmw 技術客服 LINE
(3)問題請優先洽詢 help@ublink.org
Telegram 頻道 Channel https://t.me/ublinkorg 韌體更新發佈
其他線上聯絡方式,http://www.ublink.org/index.php/contact
5 篇文章
• 第 1 頁 (共 1 頁)
誰在線上
正在瀏覽這個版面的使用者:沒有註冊會員 和 25 位訪客