FSAE / FSSO y terminal server

Para temas sobre el uso de las politicas de filtrado en los productos FortiGate.
Responder
donguru
Mensajes: 15
Registrado: 15 Mar 2012, 21:34

FSAE / FSSO y terminal server

Mensaje por donguru »

Buenas, esto es un problema que tengo desde hace meses y no puedo solucionar:

Tengo una red con FSSO (antes FSAE) para utilizar con el AD el ingreso por perfil a internet.

Para estaciones de trabajo no tengo problemas, una vez que el usuario se loguee en esa pc su acceso a internet permanece estable.

Ahora con servidores de terminal server lo que es un dolor de cabeza, ya que al loguearse el internet funciona en un tiempo indeterminado, puede ser minutos u horas, pero luego ya no accede mas a internet. Solo vuelve a funcionar al reiniciar la sesion, o si le bloqueas y le desbloqueas el escritorio de la sesion (como que el FSSO en ambos casos refresca las credenciales y vuelve a funcionar).

Ya probe de todas las maneras posibles con los timers del FSSO, tambien ajustando al modo polling / AD pero hasta ahora no consigo solucionar.

Al final estoy solucionando temporalmente haciendo una politica para todos los servidores de terminal (por ip) para que siempre accedan a ciertas paginas que ya fueron establecidas para su uso. Pero no es conveniente porque si se loguea un usuario full internet en el servidor, al final mantendra la politica de paginas webs restringidas.
Asi tampoco no me funcionaria mi log UTM webfilter, ya que no me recupera por usuario las paginas visitadas, todos salen como n/a.

Que otras posibilidades tengo para solucionar esto? estaba revisando algun ajuste de windows server para que cada segundo envie refrescos de credencial de TS y ahi tome el FSSO para que mantenga la conectvidad, asi como tambien ver si poniendo proxy explicito del forti si podria solucionar el problema.

Mi equipo es 60 C, Versión de firmware v4.0,build0513,120130 (MR3 Patch 5)
Avatar de Usuario
gabyrossi
Mensajes: 10899
Registrado: 30 Oct 2007, 19:47

Re: FSAE / FSSO y terminal server

Mensaje por gabyrossi »

Hola, no me queda claro el esquema...

tenes servidores a los cuales los usuarios acceden para navegar???

podrias explicarme eso...


o tenes servidores virtuales?

si fuera asi hay un problema con las ip ya que el usuario accede a una ip que podria tenerla otro usuario. tendrias que usar el fortigate como proxy para esos server.Lo que perdes usando proxy es application control.

Revisa la documentacion "guia de handbook" en la parte de proxy pagina 2816

[Debes identificarte para poder ver enlaces.]

Per session authentication
If you don’t select IP Based the FortiGate unit applies HTTP authentication per session.
This authentication is browser-based (see Figure 339 on page 2817). When a user enters
a user name and password in their browser to authenticate with the explicit web proxy,
this information is stored by the browser in a session cookie. Each new session started
by the same web browser uses the session cookie for authentication. When the session
cooke expires the user has to re-authenticate. If the user starts another browser on the
same PC or closes and then re-opens their browser they have to authenticate again.
Since the authentication is browser-based, multiple clients with the same IP address can
authenticate with the proxy using their own credentials. HTTP authentication provides
authentication for multiple user sessions from the same source IP address. This can
happen if there is a NAT device between the users and the FortiGate unit. HTTP
authentication also supports authentication for other configurations that share one IP
address among multiple users. These includes Citrix products and Windows Terminal
Server and other similar virtualization solutions.
To configure per session authentication, add a security policy for the explicit web proxy,
set the source interface/zone to web-proxy, select Enable Identify Based Policy, and
make sure IP Based is not selected before adding identity-based policies. You can also
set the authentication method to basic, digest, NTLM or FSAE.

saludos
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
donguru
Mensajes: 15
Registrado: 15 Mar 2012, 21:34

Re: FSAE / FSSO y terminal server

Mensaje por donguru »

si, son servidores windows server a los cuales se conectan y trabajan allí, entre ellas el uso de internet a ciertas paginas establecidas por filtro web

no son servidores virtuales, son todos fisicos..

obviamente todos los usuarios que se conectan al mismo servidor TS comparten la misma direccion ip

el acceso a internet obviamente es por autenticacion de usuarios al dominio usando fsso

lo unico que tengo en application control es el bloqueo a ultrasurf

estoy leyendo el texto que me pasaste, veo que nuevamente hay que autenticarse via web para lo del proxy..hay alguna forma de utilizar la autenticacion windows ?
Avatar de Usuario
gabyrossi
Mensajes: 10899
Registrado: 30 Oct 2007, 19:47

Re: FSAE / FSSO y terminal server

Mensaje por gabyrossi »

Hola, para esos usuariuo conectados por termianl server es la solucion ya que todos estan en la misma ip....

saludos
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
donguru
Mensajes: 15
Registrado: 15 Mar 2012, 21:34

Re: FSAE / FSSO y terminal server

Mensaje por donguru »

ok..pero puedo usar nomas la autenticacion windows para eso?

para que los usuarios no se vuelvan a loguear en el proxy...
Avatar de Usuario
gabyrossi
Mensajes: 10899
Registrado: 30 Oct 2007, 19:47

Re: FSAE / FSSO y terminal server

Mensaje por gabyrossi »

si, revisa la documentacion.

saludos
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
Responder