FortiOSGuías técnicas

Autenticación LDAP basada en grupos “anidados”

En ocasiones necesitamos autenticar a un usuario vía LDAP usando la pertenencia a un grupo anidado. Es decir, el usuario no pertenece directamente a ese grupo, sino que usamos un grupo que incluye el grupo en el que está el usuario. Por ejemplo, tenemos un grupo que se llama “IT”, que tiene como miembros otros grupos “ITSpain”, “ITPortugal”. Por defecto, Fortigate no valida a los usuarios de los grupos “miembros” si sólo añadimos el grupo “padre”

En versión 6.2, esta opción se habilita usando el comando “search type recursive”, sólo por CLI. De este modo, la definición del servidor LDAP quedaría:

config user ldap
    edit “MiServerLDAP”
        set search-type recursive
end

Esta configuración simplifica la configuración típica de versiones anteriores, en las que la configuración era:

        set group-filter “(|(&(objectclass=group)(member:1.2.840.113556.1.4.1941:=%u))(&(objectClass=group)(member:1.2.840.113556.1.4.1941:=%pg)))”

Tags

Contenidos relacionados

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *