<div dir="ltr">Hi Alexander,<div><br></div><div>I've just had a call with Pulse Secure, and we've worked out the various problems, thanks for your help as that really helped with Pulse Secure.</div><div><br></div><div>FYI, and for anyone in the future;</div><div><br></div><div>The User filter should be uid=<USER>, <span style="line-height:1.5">The Group filter should be cn=<GROUPNAME> and both member attribute and query attribute should be member not MemberOf (as you said)</span></div><div><span style="line-height:1.5"><br></span></div><div><span style="line-height:1.5">This allows all groups the groups to be returned, but also allows a user who is a part of the group to login.</span></div><div><span style="line-height:1.5"><br></span></div><div><span style="line-height:1.5">Kind Regards,</span></div><div><span style="line-height:1.5"><br></span></div><div><span style="line-height:1.5">Josh Cullum</span></div><div><br></div></div><br><div class="gmail_quote"><div dir="ltr">On Tue, Jan 12, 2016 at 10:57 AM Alexander Bokovoy <<a href="mailto:abokovoy@redhat.com">abokovoy@redhat.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">On Tue, 12 Jan 2016, CFMS Support wrote:<br>
>Hi Alexander,<br>
><br>
>Yes I see that as well actually, and when looking for a specific group I<br>
>get:<br>
><br>
>[12/Jan/2016:10:30:50 +0000] conn=30648 fd=114 slot=114 connection from<br>
>172.19.6.16 to 172.20.3.6<br>
>[12/Jan/2016:10:30:50 +0000] conn=30648 op=0 EXT<br>
>oid="1.3.6.1.4.1.1466.20037" name="startTLS"<br>
>[12/Jan/2016:10:30:50 +0000] conn=30648 op=0 RESULT err=0 tag=120<br>
>nentries=0 etime=0<br>
>[12/Jan/2016:10:30:50 +0000] conn=30648 TLS1.2 128-bit AES-GCM<br>
>[12/Jan/2016:10:30:50 +0000] conn=30648 op=1 BIND<br>
>dn="uid=ldap,cn=sysaccounts,cn=etc,dc=identity,dc=cfms,dc=org,dc=uk"<br>
>method=128 version=3<br>
>[12/Jan/2016:10:30:50 +0000] conn=30648 op=1 RESULT err=0 tag=97 nentries=0<br>
>etime=0 dn="uid=ldap,cn=sysaccounts,cn=etc,dc=identity,dc=cfms,dc=org,dc=uk"<br>
>[12/Jan/2016:10:30:50 +0000] conn=30648 op=2 SRCH<br>
>base="cn=groups,cn=accounts,dc=identity,dc=cfms,dc=org,dc=uk" scope=2<br>
>filter="(cn=XXXXX)" attrs="memberOf"<br>
>[12/Jan/2016:10:30:50 +0000] conn=30648 op=2 RESULT err=0 tag=101<br>
>nentries=1 etime=0<br>
>[12/Jan/2016:10:30:50 +0000] conn=30648 op=3 UNBIND<br>
>[12/Jan/2016:10:30:50 +0000] conn=30648 op=3 fd=114 closed - U1<br>
><br>
>And that the directory server has returned one entry, however, the VPN<br>
>device doesn't see it and returns that the group is not found.<br>
Can you show the result of the ldapsearch under the same credentials<br>
from the command line to see what exactly it gets?<br>
<br>
Looking at the setup instructions [1], I think you need to choose<br>
between static or dynamic group selection. Right now you have static<br>
group selection configured which assumes you have an LDAP Server catalog<br>
configured in PSA to list all groups that can be there, and these group<br>
DNs must match what you get as result of the searches performed.<br>
<br>
If you have already defined those static groups in LDAP Server catalog,<br>
then I think you need to use 'member' attribute instead of memberOf --<br>
memberOf is used in the user (or a nested group) entry to say what group<br>
this object is meber of, while the group itself will have member<br>
attribute values pointing to its members.<br>
<br>
[1] <a href="http://www.juniper.net/techpubs/software/ive/admin/j-sa-sslvpn-7.1-adminguide.pdf" rel="noreferrer" target="_blank">http://www.juniper.net/techpubs/software/ive/admin/j-sa-sslvpn-7.1-adminguide.pdf</a><br>
<br>
--<br>
/ Alexander Bokovoy<br>
</blockquote></div>