Hola, tengo en la empresa un Fortigate 300C, v4.0,build0665,130514 (MR3 Patch 14).
Para la navegacion de usuarios que estan en Active Directory tengo configurado el FSSO y creados distintos grupos para distintos niveles de navegacion. Todo me funciona muy bien, el problema es por ejemplo:
Tengo al usuario "luis" que pertenece al grupo "A", aplica perfectamente y navega
Siempre al usuario "luis" lo cambio al grupo "B", aplica perfectamente y navega
Cuando al usuario "luis" ya no quiero que pertenezca a ningun grupo para que ya NO navegue, lo saco de todos los grupos y unicamente queda en el grupo de "Usuarios de dominio" que es el que les coloca por defecto a todos los usuarios, y "luis" sigue navegando como si estuviera en el ultimo grupo asignado, siendo que ya no pertenece al grupo.
He utilizado la opcion de gpupdate /force en el usuario para forzar que tome lo que dice el active directory, pero igual me sigue navegando. Pareciera que el FSSO no refresca al usuario. Aunque cuando ingreso a que me muestre los usuarios logueados en la configuracion del agente, el FSSO si mustra correctamente la pertenencia al grupo, pero no lo aplica.
Si reviso en el log de eventos del Forti, el log me dice que el usuario esta autenticandose con el ultimo grupo que tenia asignado, algo que me confunde, ya que como explique antes, el usuario ya no pertence a ningun grupo de navegacion.
Cambie los timers del agente, pero sigo sin resultados.
Podria alguien darme una manito con esto??
FSSO y Grupos en Active Directory (SOLUCIONADO)
FSSO y Grupos en Active Directory (SOLUCIONADO)
No tiene los permisos requeridos para ver los archivos adjuntos a este mensaje.
Última edición por ragr el 16 Oct 2013, 16:24, editado 1 vez en total.
Re: FSSO y Grupos en Active Directory
hola, primero tienen que hacer un clear cache group en el fsso.
luego debes borrarlo del fortigate...
user -> monitor -> buscarlo y borrarlo
luego por cli
# diagnose debug authd fsso filter user luis
# diagnose debug authd fsso clear-logons
espero que sirva.
saludos
luego debes borrarlo del fortigate...
user -> monitor -> buscarlo y borrarlo
luego por cli
# diagnose debug authd fsso filter user luis
# diagnose debug authd fsso clear-logons
espero que sirva.
saludos
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
NSE 5 - Network Security Analyst
Re: FSSO y Grupos en Active Directory
Muchas gracias!!! me funciono lo de limpiar el cache de grupos y lo de "user -> monitor -> buscarlo y borrarlo"
Un par de preguntas mas:
Si tengo a varios usuarios autenticados y hago la limpieza de cache de grupos, no los afecto por el hecho de que se detiene el servicio de fsso?
Y por ultimo, las lineas desde el cli, se puede decir que es lo mismo que lo de borrar el cache y al usuario solo que desde consola? o es recomendable hacerlo?, ya que me funciono solo con los primeros dos pasos. (borrar cache y eliminar usuario)
Saludos!!!!
Un par de preguntas mas:
Si tengo a varios usuarios autenticados y hago la limpieza de cache de grupos, no los afecto por el hecho de que se detiene el servicio de fsso?
Y por ultimo, las lineas desde el cli, se puede decir que es lo mismo que lo de borrar el cache y al usuario solo que desde consola? o es recomendable hacerlo?, ya que me funciono solo con los primeros dos pasos. (borrar cache y eliminar usuario)
Saludos!!!!
Re: FSSO y Grupos en Active Directory
hola, eliminar el cache de groupos no detiene nada.. solo elimina el cache.. ñluego volvera a cachear cada usuario con cada grupo..
si te funciono solo con eso, perfecto.
slaudos.
si te funciono solo con eso, perfecto.
slaudos.
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
NSE 5 - Network Security Analyst
Re: FSSO y Grupos en Active Directory (SOLUCIONADO)
Gracias por tua ayuda!!!! Doy por solucionado mi problema...