SonicWall SSL-VPN Wachtwoord problemen

Een goed beleid binnen een bedrijfsnetwerk is het periodiek wijzigen van alle gebruikers wachtwoorden.
De gebruiker krijgt een melding om zijn wachtwoord te wijzigen en het is geregeld.
Bij SonicWALL kan door een misconfiguratie het wijzigen van wachtwoorden fout gaan waardoor de gebruiker niet meer kan inloggen.
Dit is tamelijk eenvoudig op te lossen door de authenticatie iets aan te passen.

Wat gebeurd er ?

Je wilt inloggen op de SSL-VPN Portal en typt netjes je gebruikersnaam en wachtwoord in.

Vervolgens krijg je de melding dat je je wachtwoord moet wijzigen door je huidige wachtwoord in te vullen en daarna 2x het nieuwe wachtwoord.
Daarna druk je op Change Password en tot zover gaat alles nog naar verwachting.

Maar dan krijg je onderstaand scherm voorgeschoteld :

Lekker duidelijk : Error: Configuration error
Je wachtwoord wordt dus niet gewijzigd, maar je kunt ook niet inloggen omdat je steeds je wachtwoord moet wijzigen wat niet mogelijk is.
Frustrerend, zeker aangezien de foutmelding zegt dat er een Configuration error is wat letterlijk ontelbare oorzaken kunnen zijn.
Toch is het eenvoudig om dit probleem op te lossen als je de netwerkbeheerder bent en admin toegang hebt tot de SonicWall en Active Directory.

De oplossing !

We gaan er van uit dat de SonicWALL LDAP authenticatie uitvoert op een Domain Controller.

Log in als admin op de Sonicwall en navigeer naar Users –> Settings en klik daar op de knop Configure LDAP…

Op de eerste tab zie je onderstaande configuratie.
Om wachtwoord wijziging mogelijk te maken, dienen we een paar zaken aan te passen.
Namelijk de Poort, login methode en TLS.

Laten we beginnen bij de login methode. De gebruikte methode is middels Give login name/location in tree.
Dit dienen we te wijzigen in Give bind distinguished name waarbij we een andere login naam/notatie nodig hebben.
We moeten nu uit de Active Directory de Distinguished Name van de LDAPUser achterhalen.
Dat kan via de ADUC waarbij je Advanced Features aanzet en dan de Distinguished Name onder de Attribute Editor kunt vinden bij de eigenschappen van de LDAPUser.
Echter lang niet altijd is deze Attribute Editor te zien, dus moeten we op een andere manier de DN achterhalen.

Dat kan met een tooltje AD Info die behalve deze informatie nog véél meer Active Directory informatie kan geven.
Start AD Info en start een query op all users en zet een vinkje bij attribuut Distinguished Name:

Laat de Query lopen en zoek vervolgens de LDAPUser in de resultaten op.
In de rechter kolom zie je de Distinguished Name. Klik hier met de rechtermuisknop op en selecteer copy.

Nu gaan we weer terug naar de SonicWALL admin en passen de wijzigingen toe :
Zet een vinkje aan bij Use TLS, het Port number wijzigt automatisch.
Vervolgens zet je de radiobutton aan bij Give bind distinguished name en plakt daar de DN die je zojuist in AD Info gekopieerd hebt.
Druk dan op Apply en de wijzigingen zijn opgeslagen.
Nu kun je voor alle zekerheid op het tabblad Test even testen of de authenticatie nog steeds werkt.

Nu kunnen we het admin gedeelte afsluiten aangezien we verder geen wijzigingen hoeven te doen.
We kunnen door met het testen !

Testen of wachtwoord wijziging nu werkt

Ga nu weer naar de SSL-VPN Login pagina van de Sonicwall en probeer weer in te loggen

We krijgen weer de melding om ons wachtwoord te wijzigen, we gaan dit braaf doen:

Na een paar tellen zien we onderstaand scherm.
Het is dus gelukt !

Klik op continue waarna we in onderstaand schermpje terecht komen.
Hier moeten we dan nog een keer klikken om opnieuw in te loggen met het nieuwe wachtwoord.

Wanneer we inloggen met het nieuwe wachtwoord, kunnen we verder !

Nu hebben we via de SSL-VPN Portal ons wachtwoord gewijzigd.
Dit wachtwoord is gewijzigd in de Active Directory, dus ook wanneer je op de zaak bent en je wilt inloggen in Windows, zul je het nieuwe wachtwoord moeten gebruiken.

Wachtwoord wijzigen via de SSL-VPN portal werkt dus nu !