Я посреди конфигурирования SRX Juniper, чтобы сделать аутентификацию LDAP для пользователей и сталкиваюсь с проблемой в своей лаборатории. Я уверен, что это - мои собственные плохие AD навыки в действии здесь, но я вижу некоторое странное поведение:
Я пытаюсь разрешить любому пользователю в группе CN=german_users
. Два пользователя присвоены ему, однако их путь в редактировании ADSI не отражает что: CN=german_user_1,OU=Germany,OU=Europe...
Если это не CN=german_user_1,CN=german_users,OU=Germany,OU=Europe...
?
Я испытываю затруднения при ссылке на определенную группу на SRX. Если бы я мог бы выяснить полный путь пользователю, я уверен, что это было бы просто.
Как делают меня:
a) Проверьте их путь
и/или
b) Измените путь пользователя, чтобы быть включенными в группе?
Спасибо!
Править: Я должен отметить, что не могу просто использовать учетную запись в 'OU'. Я должен использовать определенные группы в том же OU для выделения другого доступа.
Только администратор AD может предоставить вам фактический путь OU к объекту. К счастью, информация AD в основном доступна для чтения всем в домене, поэтому, если у вас есть клиент ldap, вы можете просто выполнить поиск этого объекта и получить его DN (DistinguishedName). Вы можете искать по имени, имени пользователя AD (samAccountName) и т. Д.
Вам не нужно изменять OU пользователя, чтобы присоединиться к группе, это две разные вещи. Вам просто нужно добавить пользователя в группу с помощью ADUC mmc。
В конфигурации политики SRX укажите группу (или группы), используя CN ("german_users"), а не DN ("CN = xxxx, ..."). Достаточно.