De acuerdo

Firewalls USG 6600 Series. Error al importar usuarios vía Active Directory Destacado

Última respuesta en. 30, 2021 22:12:28 443 4 3 0 2

Huawei USG Firewalls permiten importar usuarios, grupos o Security Groups desde un AD/LDAP/Sun One Ldap server  y al mismo tiempo permite importar usuarios y grupo de usuatios desde un Open Ldap o Agile Controller.

Durante este proceso se puede presentar un error en la importación el cual voy a describir y voy a plantear un workaround.


  • Empecemos definiendo el server template del AD, ya sea por CLI o GUI.


AD-template


  • Una vez se defina el AD server, corroboramos la correcta comunicación haciendo un test básico utilizando un usuario del dominio:


test-ad


  • Configuramos una política de importación, en este caso se creó la política "testingad" y se están importando todos los objetos (users, user groups, security groups).  En el ejemplo se van a importar los usuarios al dominio default.


Import_Policy

 

  • Una vez creada, nos vamos a la sección "Server Import Policy List" y ejecutamos la opción "Import now" para verificar si la importación se hace de forma correcta. Nótese el error que se presenta:

    "Failed to communicate with remote server or other unknown error, please check the configuration"


error_import

El error pareciera que hace referencia a que el usuario y password que se está usando para comunicarse contra el servidor AD es erróneo o que el firewall no está pudiendo alcanzar al AD server sin embargo no es la realidad del problema.


¿Qué sucede?

El problema está relacionado con el SSL, ya que cuando se usa SSL en el template del AD-server, el paquete LDAP search-response TLS, tiene un máximo de 16kBytes lo cual excede la longitud del buffer del USG 10kBytes.

Esto es una limitante del firewall que será corregida en próximos releases. Por ahora les planteo la solución temporal.


WORKAROUND

Vía CLI, se debe editar el AD-server template y cambiar el modo de "ldap-over-ssl" a "no-ssl", con esto la longitud del buffer permanecerá en 10kByes, sin embargo el tamaño de los paquetes “search response” del servidor ldap no excederá el tamaño del buffer.


no-ssl


Espero les sirva de ayuda.


Enlaces relacionados:

Firewalls USG 6600 Series. Uso de Security Groups en la configuración de Rol Authorization/User o Mac Authentication dentro de un Gateway VPN SSL

 

Productos de Networking y Security de Huawei Enterprise


  • x
  • convención:

ernesto_cupet6
Publicado 2020-10-9 13:15:20
Buena publicación, gracias por compartir.
Ver más
  • x
  • convención:

Ipacaray
Publicado 2021-1-4 07:55:30
Excelente
Ver más
  • x
  • convención:

Sat
Publicado 2021-1-4 10:37:14
Excelente troubleshooting muchas gracias.
Ver más
  • x
  • convención:

user_4000619
Publicado 2021-1-30 22:12:28
buenisimo
Ver más
  • x
  • convención:

Comentar

Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse
Responder

Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”

My Followers

¡Ingresa y disfruta de todos los beneficios para los miembros!

Inicia sesión

Bloquear
¿Estás seguro de bloquear a este usuario?
Los usuarios en lista negra no pueden comentar tus publicaciones,no pueden mencionarte,no pueden enviarte mensajes privados.
Recordatorio
Agrega tu número de teléfono para obtener un bono de invitación.