Elektronik123
@Elektronik123
системный администратор

GLPI + AD (LDAP) за NAT?

Добрый день!
Внедряю GLPI, у меня есть 4 домена, 1 локальный, 3 удаленных.
Занес 4 организации, локальный домен выгружает пользователей в нужную организацию и там, соответсвенно, идет с ними работа.
А вот удаленные домены никак не могу прокинуть.
Тест подключения к LDAP:
Тест неудачный: Основной сервер companyname
Собственно вопрос, может быть больше по AD, может есть тонкости, которых я не знаю.
Есть внешний IP, пробрасываю порты с него на контроллер AD. пытаюсь достучаться (пока) в 2 сети. В одной шлюз Pfsence, в другой mikrotik.
В Pfsence просто прокидываю LDAP (389 порт, там просто выбирается LDAP и все), в микротике пробовал много портов, результат тот же.
Правила микротика (сейчас стоит X, просто отключил их, раз не используются):
0 X ;;; LDAP AD
chain=dstnat action=dst-nat to-addresses=192.168.0.201 to-ports=389 protocol=tcp src-address=xxx.xxx.xxx.xxx dst-port=389 log=no log-prefix=""
1 X chain=dstnat action=dst-nat to-addresses=192.168.0.201 to-ports=389 protocol=udp src-address=xxx.xxx.xxx.xxx dst-port=389 log=no log-prefix=""
2 X chain=dstnat action=dst-nat to-addresses=192.168.0.201 to-ports=3268 protocol=tcp src-address=xxx.xxx.xxx.xxx dst-port=3268 log=no log-prefix=""
3 X chain=dstnat action=dst-nat to-addresses=192.168.0.201 to-ports=53 protocol=udp src-address=xxx.xxx.xxx.xxx dst-port=53 log=no log-prefix=""
4 X chain=dstnat action=dst-nat to-addresses=192.168.0.201 to-ports=53 protocol=tcp src-address=xxx.xxx.xxx.xxx dst-port=53 log=no log-prefix=""
5 X chain=dstnat action=dst-nat to-addresses=192.168.0.201 to-ports=3269 protocol=tcp src-address=xxx.xxx.xxx.xxx dst-port=3269 log=no log-prefix=""
6 X chain=dstnat action=dst-nat to-addresses=192.168.0.201 to-ports=464 protocol=udp src-address=xxx.xxx.xxx.xxx dst-port=464 log=no log-prefix=""
7 X chain=dstnat action=dst-nat to-addresses=192.168.0.201 to-ports=464 protocol=tcp src-address=xxx.xxx.xxx.xxx dst-port=464 log=no log-prefix=""
8 X chain=dstnat action=dst-nat to-addresses=192.168.0.201 to-ports=445 protocol=udp src-address=xxx.xxx.xxx.xxx dst-port=445 log=no log-prefix=""
9 X chain=dstnat action=dst-nat to-addresses=192.168.0.201 to-ports=445 protocol=tcp src-address=xxx.xxx.xxx.xxx dst-port=445 log=no log-prefix=""
10 X chain=dstnat action=dst-nat to-addresses=192.168.0.201 to-ports=139 protocol=tcp src-address=xxx.xxx.xxx.xxx dst-port=139 log=no log-prefix=""
11 X chain=dstnat action=dst-nat to-addresses=192.168.0.201 to-ports=138 protocol=udp src-address=xxx.xxx.xxx.xxx dst-port=138 log=no log-prefix=""
12 X chain=dstnat action=dst-nat to-addresses=192.168.0.201 to-ports=135 protocol=udp src-address=xxx.xxx.xxx.xxx dst-port=135 log=no log-prefix=""
13 X chain=dstnat action=dst-nat to-addresses=192.168.0.201 to-ports=135 protocol=tcp src-address=xxx.xxx.xxx.xxx dst-port=135 log=no log-prefix=""
14 X chain=dstnat action=dst-nat to-addresses=192.168.0.201 to-ports=88 protocol=udp src-address=xxx.xxx.xxx.xxx dst-port=88 log=no log-prefix=""
15 X chain=dstnat action=dst-nat to-addresses=192.168.0.201 to-ports=88 protocol=udp src-address=xxx.xxx.xxx.xxx dst-port=88 log=no log-prefix=""
16 X chain=dstnat action=dst-nat to-addresses=192.168.0.201 to-ports=1024-5000 protocol=tcp src-address=xxx.xxx.xxx.xxx dst-port=1024-5000 log=no log-prefix=""
17 X chain=dstnat action=dst-nat to-addresses=192.168.0.201 to-ports=1024-5000 protocol=udp src-address=xxx.xxx.xxx.xxx dst-port=1024-5000 log=no log-prefix=""
18 X chain=dstnat action=dst-nat to-addresses=192.168.0.201 to-ports=49152-65535 protocol=udp src-address=xxx.xxx.xxx.xxx dst-port=49152-65535 log=no log-prefix=""
19 X chain=dstnat action=dst-nat to-addresses=192.168.0.201 to-ports=49152-65535 protocol=tcp src-address=xxx.xxx.xxx.xxx dst-port=49152-65535 log=no log-prefix=""


От сюда видно, что я что только не пробрасывал, весь AD пробросил, а воз и ныне там. GLPI не видит LDAP AD за натом (или за чужим натом). Есть у кого мысли или может кто делал такую "организацию организаций" в GLPI? как?
Надеюсь на решение или подсказку, куда мне пойти. 2 дня гуглокурения ничего не дали :(

Забыл настройки в GLPI. Там все по аналогии с доменом, который работает

Сервер ldap://xxx.xxx.xxx.xxx (внешний ip) порт 389
Фильтр соединений (&(objectClass=user)(objectCategory=person)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))
База поиска (baseDN) ou=domain_users,dc=domain,dc=local
rootDN (пользователь для подключения) admin@domain.local
Поле имени пользователя samaccountname

Спасибо.
  • Вопрос задан
  • 390 просмотров
Решения вопроса 1
Elektronik123
@Elektronik123 Автор вопроса
системный администратор
Зря создал, сдвинулось...
На AD 2 сетевых интерфейса, соответсвенно в одном указан адрес шлюза, в другом нет. Я прокидывал на тот интерфейс, на котором шлюз не указан. А как мы знаем -- интерфейс, на который прокидываешь, должен иметь адрес шлюза, с которого прокидываешь...
Короче 1 организацию поборол. С микротиком все просто. А вот Pfsence пока не дается, мб просто не правильно что то прокинул, я с ним мало работал... Будем разбираться. Всем спасибо, очень помогли :))
Ответ написан
Комментировать
Пригласить эксперта
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы