Hola a todos,
Les cuento, tengo actualmente 2 Fortigate 600c en HA y estoy tratando de hacer politicas de navegacion por usuarios. Instale el agente FSSO en LDAP y en el firewall puedo ver los grupos de usuarios, todo funcionaba sin problemas hasta hace un par de dias, ahora cuando alguien trata de navegar es direccionado a un portal del firewall que le pide usuario y contraseña (sin importar a que grupo pertenece), revise las configuraciones del equipo pero en ninguna parte esta aplicado el portal. Para que puedan navegar he tenido que crear una politica de salida a internet por IP, pero eso no es realmente lo que necesito.
Espero que si a alguien le ha pasado algo similar me pueda dar una mano
Saludos
Problema con politicas de FSSO
Re: Problema con politicas de FSSO
Hola.
Has mirado si en el FG siguen apareciendo los usuarios validados? Y en el agente aparecen?
Si no has tocado nada en los FGs, es posible que necesites reiniciar el servicio del agente que monitoriza los logins de los usuarios.
Un saludo.
Has mirado si en el FG siguen apareciendo los usuarios validados? Y en el agente aparecen?
Si no has tocado nada en los FGs, es posible que necesites reiniciar el servicio del agente que monitoriza los logins de los usuarios.
Un saludo.
-
PabloCarrillo
- Mensajes: 5
- Registrado: 04 Nov 2015, 13:56
Re: Problema con politicas de FSSO
Hola,
Gracias por la respuesta. En el firewall si me aparecen los usuarios validados, lo he revisado tanto por pagina como por cli (de hecho aparecen validados con su tiempo real de conexion ej 15 minutos, 1 hora, etc). Dentro de las pruebas que hemos realizado ya he reiniciado el agente que esta instalado en el LDAP.
Saludos
Gracias por la respuesta. En el firewall si me aparecen los usuarios validados, lo he revisado tanto por pagina como por cli (de hecho aparecen validados con su tiempo real de conexion ej 15 minutos, 1 hora, etc). Dentro de las pruebas que hemos realizado ya he reiniciado el agente que esta instalado en el LDAP.
Saludos
Re: Problema con politicas de FSSO
hola, podriasmostrar los grupos de usuarios como estan armados?y las politicaS?
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
NSE 5 - Network Security Analyst
-
PabloCarrillo
- Mensajes: 5
- Registrado: 04 Nov 2015, 13:56
Re: Problema con politicas de FSSO
Hola,
Me acabo de llevar una sorpresa, al momento de tratar de ver los grupos por cli me aparece un mensaje diciendo que el demonio fsso no esta activo, antes lo habia hecho y no me daba ese error
PRIMARIO # diagnose debug fsso-polling summary
fsso daemon is not running
Mis politicas de usuarios son asi:
PRIMARIO # show firewall policy 83
config firewall policy
edit 83
set uuid 9e46ff80-0d7e-51e5-915b-6cc697b76db6
set srcintf "port1"
set dstintf "wan1"
set srcaddr "all"
set dstaddr "all"
set action accept
set schedule "always"
set service "Navegacion_basica"
set utm-status enable
set fsso enable
set groups "Usuarios_Normales_Internet"
set webfilter-profile "ENAMI_WEB_FILTER_2"
set ips-sensor "default"
set application-list "Bloqueo Proxy"
set profile-protocol-options "default"
set nat enable
next
end
PRIMARIO # show firewall policy 82
config firewall policy
edit 82
set uuid 4cca46b2-0d7e-51e5-b883-542144a2a81c
set srcintf "port1"
set dstintf "wan1"
set srcaddr "all"
set dstaddr "all"
set action accept
set schedule "always"
set service "ALL"
set utm-status enable
set logtraffic all
set fsso enable
set groups "Usuarios_TI" "usuarios_Permitido_Todo"
set application-list "Bloqueo Proxy"
set profile-protocol-options "default"
set nat enable
next
end
Saludos
Me acabo de llevar una sorpresa, al momento de tratar de ver los grupos por cli me aparece un mensaje diciendo que el demonio fsso no esta activo, antes lo habia hecho y no me daba ese error
PRIMARIO # diagnose debug fsso-polling summary
fsso daemon is not running
Mis politicas de usuarios son asi:
PRIMARIO # show firewall policy 83
config firewall policy
edit 83
set uuid 9e46ff80-0d7e-51e5-915b-6cc697b76db6
set srcintf "port1"
set dstintf "wan1"
set srcaddr "all"
set dstaddr "all"
set action accept
set schedule "always"
set service "Navegacion_basica"
set utm-status enable
set fsso enable
set groups "Usuarios_Normales_Internet"
set webfilter-profile "ENAMI_WEB_FILTER_2"
set ips-sensor "default"
set application-list "Bloqueo Proxy"
set profile-protocol-options "default"
set nat enable
next
end
PRIMARIO # show firewall policy 82
config firewall policy
edit 82
set uuid 4cca46b2-0d7e-51e5-b883-542144a2a81c
set srcintf "port1"
set dstintf "wan1"
set srcaddr "all"
set dstaddr "all"
set action accept
set schedule "always"
set service "ALL"
set utm-status enable
set logtraffic all
set fsso enable
set groups "Usuarios_TI" "usuarios_Permitido_Todo"
set application-list "Bloqueo Proxy"
set profile-protocol-options "default"
set nat enable
next
end
Saludos
Re: Problema con politicas de FSSO
hola, que firmware estas usando?
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
NSE 5 - Network Security Analyst
-
PabloCarrillo
- Mensajes: 5
- Registrado: 04 Nov 2015, 13:56
Re: Problema con politicas de FSSO
Hola, cuando se presento el problema tenia 5.2.1, la semana pasada lo actualice a 5.2.4
Saludos
Saludos
Re: Problema con politicas de FSSO
Y se arreglo ? en que estado esta?
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
NSE 5 - Network Security Analyst
-
PabloCarrillo
- Mensajes: 5
- Registrado: 04 Nov 2015, 13:56
Re: Problema con politicas de FSSO
Hola, lo arreglamos. Cuando implementamos el cliente nos declaro solo un servidor de autenticacion. Haciendo pruebas nos dimos cuenta que tenia al menos dos servidores mas con el rol de secundario y algunos usuarios se autenticaban alli. La solucion fue agregar los servidores secundarios al agente que estaba instalado en el primario. Al menos desde el jueves hasta ahora no hemos tenido reclamos.
Gracias por la ayuda y la preocupacion
Gracias por la ayuda y la preocupacion