Har någon lyckats konfigurera en Sonicwall VPN-apparat för att kunna återställa utgångna lösenord i AD-konton? Vi har för närvarande problem när fjärranvändare loggar in på Global VPN-Client och deras lösenord har löpt ut i AD, de ombeds ange ett nytt lösenord och kopplar om. Problemet är att när de försöker logga in med det nya lösenordet säger den att lösenordet är fel, och om de skriver in det gamla lösenordet går det genom de utgångna lösenordsvarningarna igen. Så i princip verkar det som att Sonicwall inte skriver det nya lösenordet till AD för användaren. Jag har ställt in att använda LDAP för autentisering och använder TLS samt Domain Admin-kontot för att binda till LDAP. Krävs RADIUS för att detta ska fungera? Vi har inte det inställt och vill gärna få det att fungera med bara LDAP om möjligt.
Tack!
Jag satte upp detta på en FG för ett tag sedan, då behövdes RADIUS.
Redigering:
https://www.sonicwall.com/support/knowledge-base/unable-to-change-expired-password-via-netextender/170505269955697/
Skapa den användare du binder med. Gör den till medlem i Domain Users, Domain Admin.
Ge delegatåtkomst till ett svc-konto istället.
Jag tror att du måste använda LDAPS istället för LDAP för att få lösenordsändringarna att fungera.
Du kommer inte att få det att fungera. Vi får användare att logga in via OWA för att göra återställningar, precis som Microsoft inte låter dig ändra lösenordet om du använder RDP-gateway. Dumt ändå, men det där promptet för utgånget lösenord gäller för lokala konton, domänkonton gör exakt det du beskriver.
Vi har samma problem, använder Netextender och en SMA.
Men, om du ändrar lösenordet, stänger VPN-klienten och väntar ca 2 minuter, kan du logga in med det nya lösenordet.
Har inte löst varför än.
Antingen öppna OWA för att tillåta lösenordshantering eller köp en tredjepartsprodukt för AD självbetjäning, det finns några där ute.
Förlåt, jag använder LDAPS, inte bara vanlig LDAP. Jag gick igenom certifikatinstallationen och har TLS markerat.
De andra inställningarna vi använder är:
- RADIUS in
- MSCHAPv2
- Användarautentiseringsmetod: LDAP + Lokala användare
Kan du verifiera att LDAP-testet för autentisering fungerar?
Ja, LDAPS-testautentisering fungerar bra, det är så jag autentiserar användare till VPN. Så du har RADIUS konfigurerat? Det är det jag inte gjorde. Endast LDAPS är konfigurerat. Hoppades att det skulle räcka för att tillåta lösenordsändringar eftersom jag använder LDAPS med Domain Admin som bindningskonto, men det verkar som att du också behöver konfigurera RADIUS.