SVN2230 SSL VPN 采用AD认证时认证失败案例

发布时间:  2014-03-29 浏览次数:  588 下载次数:  0
问题描述
客户使用SVN2230设备做虚拟网关,对SSL VPN用户采用AD认证方式,始终无法认证成功。

网络拓扑如下:

告警信息
处理过程
分析设备的诊断信息,检查步骤如下:
(1)首先确认SVN2230到AD服务器之间的网络是否可达,经在设备上ping服务器测试,发现网络没有问题。
(2)检查SVN2230上LDAP服务器模板的配置时发现,模板中配置的“管理员DN”配置的是管理员的全名(就是管理员账号中已经包括了BaseDN), 而同时又勾选了“管理员绑定属性”。这样的话就会导致管理员账号不对,导致认证失败。如下:
根因
根据问题现象,可能有如下原因:
(1) SVN2230上AD认证相关的配置有问题;
(2) 认证的账号密码不正确;
(3) SVN设备到AD服务器之间的网络有问题;
建议与总结
由于LDAP服务器模板中的“管理员DN”配置和“管理员绑定属性”配置冲突,导致实际认证的管理员账号错误,最终认证失败。

建议:
AD认证是需要检查LDAP模板中管理员DN配置是否为全名(是否包含了Base DN),如果不是全名就需要勾选“管理员绑定属性”,如果已经是全名了,就不需要勾选“管理员绑定属性”了。

END