Vigor 2920Vn使用者AD驗證問題
發表於 : 週三 5月 21日, 2014年 2:31 pm假設AD架構如下
Domain Name:Tw.TestDomain.Local
新增4個account:user1、user2、admin1、admin2
新增2個Group:Gusers、Gadmins
新增2個OU:Admins、Acc
將「user1」及「user2」加入「Gusers」的Gruoup
將「admin1」及「admin2」加入「Gadmins」的Gruoup
將「user1」及「Gusers」移至預設的「Users」的Container
將「admin1」及「Gadmins」移至新增的「Admins」的OU
將「user2」及「admin2」移至「Acc」的OU
已參考下列篇說明進行設定
如何搭配LDAP/AD 伺服器進行使用者上網驗證?
Vigor支援LDAP驗證的設定方法
Vigor3900 User Management 套用 LDAP / Active Directory 做上網彈出驗證視窗的設定方法
若「General Setup」已設定好Regular Mode、Regular DN/Password,且可正常query AD的資料
依下列方式進行測試
一、 Base Distinguished Name:OU=Acc,DC=Tw,DC=TestDomain,DC=Local
「ACC」的OU中只有「user2」及「admin2」二個Account物件,沒有Group物件
「user2」及「admin2」二個Account都可通過驗證。
二、 Base Distinguished Name:CN=Users,DC=Tw,DC=TestDomain,DC=Local
裡面有「user1」的Account物件及「Gusers」的Group物件
「user1」可通過驗證,但屬於「Gusers」成員的「user2」則驗證失敗。
三、 Base Distinguished Name:CN=Gusers,CN=Users,DC=Tw,DC=TestDomain,DC=Local
直接選取「Gusers」的Group物件
屬於「Gusers」成員的「user1」及「user2」皆驗證失敗。
四、 Base Distinguished Name:OU=Admins,DC=Tw,DC=TestDomain,DC=Local
裡面有「admin1」的Account物件及「Gadmins」的Group物件
「admin1」可通過驗證,但屬於「Gadmins」成員的「admin2」則驗證失敗。
五、 Base Distinguished Name:CN=Gadmins,CN=Admins,DC=Tw,DC=TestDomain,DC=Local
直接選取「Gadmins」的Group物件
屬於「Gadmins」成員的「admin1」及「admin2」皆驗證失敗。
結論:無論如何設定,皆無法針對特定群組(Group)內的所有帳號(Account)進行驗證
也就是說,只能套用到OU或Container底下的Account物件;無法套用Group物件
請問,是否有哪裡該注意的地方?還是Draytek的設備不提供AD Group物件的驗證?
謝謝~
Domain Name:Tw.TestDomain.Local
新增4個account:user1、user2、admin1、admin2
新增2個Group:Gusers、Gadmins
新增2個OU:Admins、Acc
將「user1」及「user2」加入「Gusers」的Gruoup
將「admin1」及「admin2」加入「Gadmins」的Gruoup
將「user1」及「Gusers」移至預設的「Users」的Container
將「admin1」及「Gadmins」移至新增的「Admins」的OU
將「user2」及「admin2」移至「Acc」的OU
已參考下列篇說明進行設定
如何搭配LDAP/AD 伺服器進行使用者上網驗證?
Vigor支援LDAP驗證的設定方法
Vigor3900 User Management 套用 LDAP / Active Directory 做上網彈出驗證視窗的設定方法
若「General Setup」已設定好Regular Mode、Regular DN/Password,且可正常query AD的資料
依下列方式進行測試
一、 Base Distinguished Name:OU=Acc,DC=Tw,DC=TestDomain,DC=Local
「ACC」的OU中只有「user2」及「admin2」二個Account物件,沒有Group物件
「user2」及「admin2」二個Account都可通過驗證。
二、 Base Distinguished Name:CN=Users,DC=Tw,DC=TestDomain,DC=Local
裡面有「user1」的Account物件及「Gusers」的Group物件
「user1」可通過驗證,但屬於「Gusers」成員的「user2」則驗證失敗。
三、 Base Distinguished Name:CN=Gusers,CN=Users,DC=Tw,DC=TestDomain,DC=Local
直接選取「Gusers」的Group物件
屬於「Gusers」成員的「user1」及「user2」皆驗證失敗。
四、 Base Distinguished Name:OU=Admins,DC=Tw,DC=TestDomain,DC=Local
裡面有「admin1」的Account物件及「Gadmins」的Group物件
「admin1」可通過驗證,但屬於「Gadmins」成員的「admin2」則驗證失敗。
五、 Base Distinguished Name:CN=Gadmins,CN=Admins,DC=Tw,DC=TestDomain,DC=Local
直接選取「Gadmins」的Group物件
屬於「Gadmins」成員的「admin1」及「admin2」皆驗證失敗。
結論:無論如何設定,皆無法針對特定群組(Group)內的所有帳號(Account)進行驗證
也就是說,只能套用到OU或Container底下的Account物件;無法套用Group物件
請問,是否有哪裡該注意的地方?還是Draytek的設備不提供AD Group物件的驗證?
謝謝~