Решено ошибка смены пароля

Статус
Закрыто для дальнейших ответов.

Ozzy

Случайный прохожий
Всем привет! Подскажите как пофиксить проблему. Пользователи подключаются к чекпойнту через endpoint security vpn по логину и паролю. Если у пользователя просрочен пароль то клиент предлагает его сменить или обновить, но это сделать не удается. Появляется ошибка: Failed to modify password, LDAP Error
Где искать правду ?
1.png
 
Последнее редактирование:
В свойствах LDAP должна быть опция Write data to this server


Solution
Important:
  • You can configure password change after expiration on Security Gateways with version R71 and higher.
    Note - Quantum Spark and SMB Appliances with Gaia Embedded OS do not support LDAP over SSL (sk171060).
  • Make sure that the LDAP server is configured to work with LDAP over SSL (known as LDAPS).
    Note - Make sure all Domain Controllers selected in the LDAP Account Unit object are configured to communicate securely on the TCP port 636. Domain Controllers must support this communication.
To enable password change after expiration:
  1. Open the 'Global Properties':
    • In SmartConsole R80 and higher:
      Click the Menu button > Global properties > User Directory
    • In SmartDashboard R75.40 - R77.30:
      Click the Policy menu > Global Properties > User Directory
  2. In the User Directory properties, select "Enable Password change when a user's Active
    Directory password expires
    " and click OK.
  3. Open the LDAP Account Unit object:
    1. Make sure the assigned Profile is Microsoft_AD.
    2. Make sure that the Login DN for the LDAP server (as you configured in the Account Unit "LDAP Server Properties"), has sufficient permissions to modify the passwords of Active Directory users.
    3. In the "LDAP Server" properties window, make sure to select the "Write data to this server".
    4. In the "LDAP Server" properties window, on the Encryption tab, select "Use Encryption (SSL)".
    5. Click "Fetch Fingerprint". If fetching the fingerprint fails with the error "Error fetching fingerprints - Failed to connect to LDAP Server SSL connection failed to ckpSSL ssl lib error", refer to sk104785.
  4. If the LDAP schema of the Active Directory is not extended with Check Point's LDAP schema, then connect with GuiDBedit Tool to the Security Management Server / applicable Domain Management Server to make these changes:
    1. Close all SmartConsole windows.
    2. Click Tables > Managed Objects > LDAP > Microsoft_AD > Common.
    3. Find the attribute SupportOldSchema.
    4. Right-click the attribute SupportOldSchema > select Edit > configure the value to 1 > click OK.
    5. Click the File menu > Save All.
    6. Close GuiDBedit Tool.
    7. Connect with SmartConsole / SmartDashboard to the Management Server.
    8. Install the policy.
 
Это все настроено, но увы не работает. Так же если пытаться зайти через браузер в gaia portal - тоже не работает, та же ошибка.
Порт 636 открыт, причем пробовал ошибаться в пароле при попытке смены - говорит неверный пароль, значит запрос до домена доходит.
Такое ощущение что как будто нет разрешений на смену пароля в AD:cautious:
 
А если к примеру домен админ будет так пытаться пароль поменять через gaia или через endpoint security VPN?
Попробовал - все тоже самое, нет разницы обычный пользователь или администратор домена.
Пробую найти лог подключения к чекпойнту. Пока не нахожу:confused:
 
Хм. Попробуйте включить extended log
 
Хм. Попробуйте включить extended log
Как мне это поможет и что я там увижу? Не думаю это не поможет.. что то с настройками, или брандмауэрами или антивирусами или еще черт знает с чем🧐
 
Лучше настроить авторизацию по сертификатам. Я б вообще не стал по паролю пускать, тем более разрешать сбрасывать. А то смотрите.. сбросят вам пароль "добрые люди". Может оно и хорошо что не работает))
 
По моему опыту оно вообще через раз работает. И работоспособность сильно зависит от версии клиента.
 
If the LDAP schema of the Active Directory is not extended with Check Point's LDAP schema, then connect with GuiDBedit Tool to the Security Management Server / applicable Domain Management Server to make these changes:
  1. Close all SmartConsole windows.
  2. Click Tables > Managed Objects > LDAP > Microsoft_AD > Common.
  3. Find the attribute SupportOldSchema.
  4. Right-click the attribute SupportOldSchema > select Edit > configure the value to 1 > click OK.
  5. Click the File menu > Save All.
  6. Close GuiDBedit Tool.
вот это выполнено?👆
 
Статус
Закрыто для дальнейших ответов.
Назад
Верх Низ