authenticarse en active directory

Para temas sobre el uso de las politicas de filtrado en los productos FortiGate.
xcrespo
Mensajes: 15
Registrado: 21 Nov 2007, 15:47

authenticarse en active directory

Mensaje por xcrespo »

Hola de nuevo.

Tengo un problema. Estoy haciendo pruebas de FSAE(FORTINET SERVER AUTHENTICATION EXTENSION).

Lo instalo en un pc no en el servidor de dominio. Pero con la clave de administrador como es lógico.

En el fortigate 60. User/Windows AD. Lo configuro con la maquina donde e instalado el FSAE, actualizo y veo todos los grupos del active directory,
hasta aqui todo correcto.
Luego en user group creo un grupo donde meto los usuarios de dominio de mi dominio, para hacer una prueba con todos.
Cuando voy a politicas y en la de internal1 a wan1 le pongo
authentication ad, y le meto el grupo que e creado en este momento no puede navegar nadie.Parece que no se authentican lo usuarios.

¿por que?
Gracias de antemano.
Saludos.
Avatar de Usuario
gabyrossi
Mensajes: 10899
Registrado: 30 Oct 2007, 19:47

Re: authenticarse en active directory

Mensaje por gabyrossi »

hola, como estas? el fsae se instala en el o los controladorees de dominio.
tendras que hacer una pilitica antes con el dns, para que pueda consultarlo.

hay un buen documento (powerpoint)sobre esto:
[Debes identificarte para poder ver enlaces.]
saludos


xcrespo escribió:Hola de nuevo.

Tengo un problema. Estoy haciendo pruebas de FSAE(FORTINET SERVER AUTHENTICATION EXTENSION).

Lo instalo en un pc no en el servidor de dominio. Pero con la clave de administrador como es lógico.

En el fortigate 60. User/Windows AD. Lo configuro con la maquina donde e instalado el FSAE, actualizo y veo todos los grupos del active directory,
hasta aqui todo correcto.
Luego en user group creo un grupo donde meto los usuarios de dominio de mi dominio, para hacer una prueba con todos.
Cuando voy a politicas y en la de internal1 a wan1 le pongo
authentication ad, y le meto el grupo que e creado en este momento no puede navegar nadie.Parece que no se authentican lo usuarios.

¿por que?
Gracias de antemano.
Saludos.
xcrespo
Mensajes: 15
Registrado: 21 Nov 2007, 15:47

Mensaje por xcrespo »

Hola gracias por contestar voy aver si hago funcionar.
Saludos.
xcrespo
Mensajes: 15
Registrado: 21 Nov 2007, 15:47

Mensaje por xcrespo »

Hola ya e instalado el FSAE en el servidor que hace de controlador de dominio, y me pasa lo mismo configuro en el fortigate en
users/windows AD y funciona correctamente puedo ver todos los grupos del dominio. Pero cuando creo los grupos en el fireware del tipo active directory. Y activo la opción de autenticarse en la política de internal a wan1, deja de funcionar ya no navega nadie, parece que no se autentican.

Me comentaste algo de meter una política en el dns.horientame un poco más.

Ya me he leido el power point, pero no se cual es problema..

en el server tengo dos interfaces 192.168.1.6 donde esta configurado el dns
y la 192.168.1.7 donde tengo configurado internet con la puerta de enlace hacia el fortigate 192.168.1.1

Gracias de antemano .
SAludos
xcrespo
Mensajes: 15
Registrado: 21 Nov 2007, 15:47

Mensaje por xcrespo »

cuando instalo el FSAE cuando pide la direccion de la maquina le pongo la
192.168.1.7 en el puerto por defecto
Avatar de Usuario
gabyrossi
Mensajes: 10899
Registrado: 30 Oct 2007, 19:47

Mensaje por gabyrossi »

Hola, como estas? arriba de la politica que autentica con el ad hace una que sea de internal a wan pero con direccion ip (tu dns) hacia afuera sin que este para autenticar. Tambien una politica entre el dns y donde instalaste el fsae si son server disitntos.

espero que sirva saludos

Gabriel




xcrespo escribió:cuando instalo el FSAE cuando pide la direccion de la maquina le pongo la
192.168.1.7 en el puerto por defecto
xcrespo
Mensajes: 15
Registrado: 21 Nov 2007, 15:47

Mensaje por xcrespo »

hola gaby e creado una politica por encima de todas de internal a wan1
con la ip del servidor dns. El servidor DNS y el mismo que el controlador de dominio. Este servidor tiene dos tarjetas de red una 192.168.1.6 y 192.168.1.7
Después de hacer la politica pongo que se authentique en la politica correspondiente (internal a wan1 todos), y no puedo navegar.
Los puertos 139 445 estan correctamente abiertos.

No se que puede ser, de momento voy a authenticarlos por firewall.

Pero de todas formas me gustaria lograr integrarlo con acive directory.
¿tienes alguna otra idea?
Perdonar las molestias.
Saludos[/img]
Avatar de Usuario
gabyrossi
Mensajes: 10899
Registrado: 30 Oct 2007, 19:47

Mensaje por gabyrossi »

Hola, como estas?
Mira yo tengo estas politicas y anda bien
edit 1
set srcintf "internal"
set dstintf "wan1"
set srcaddr "AD"
set dstaddr "all"
set action accept
set schedule "always"
set service "DNS"
set logtraffic enable
set nat enable
next
edit 2
set srcintf "internal"
set dstintf "wan1"
set srcaddr "all"
set dstaddr "all"
set action accept
set schedule "always"
set service "ANY"
set logtraffic enable
set fsae enable
set label "Politica con AD"
set nat enable
set groups "ConInternet" "SinInternet"
next
end

algunos comandos que pueden servirte para chequear si estan logueados:

Antes de correr cualquier comando “diagnose debug” hay que habilitar con “diagnose debug enable”
#diagnose debug authd fsae <opciones>
las <opciones> son:
 clear-logons limpia información de logon
 list lista logons actuales 'vivos'
 refresh-groups refrescar los mapeos de grupos
 refresh-logons re-sincronizar la base de datos de logons
 server-status muestra status de la conexion con server FSAE
 summary resumen de los logons actuales

#diagnose debug authd <opciones>
las <opciones> son:
 clear limpia las estructuras de datos internas y sesiones 'vivas'
 fsae módulo cliente FSAE

consulta:
parado en el ad le haces ping al dns? el dns tiene salida a internet?

saludos
espero que sirva

Gabriel


xcrespo escribió:hola gaby e creado una politica por encima de todas de internal a wan1
con la ip del servidor dns. El servidor DNS y el mismo que el controlador de dominio. Este servidor tiene dos tarjetas de red una 192.168.1.6 y 192.168.1.7
Después de hacer la politica pongo que se authentique en la politica correspondiente (internal a wan1 todos), y no puedo navegar.
Los puertos 139 445 estan correctamente abiertos.

No se que puede ser, de momento voy a authenticarlos por firewall.

Pero de todas formas me gustaria lograr integrarlo con acive directory.
¿tienes alguna otra idea?
Perdonar las molestias.
Saludos[/img]
xcrespo
Mensajes: 15
Registrado: 21 Nov 2007, 15:47

Mensaje por xcrespo »

SI el ping al dns(192.168.1.6) funciona correctamente.
esta interface no tiene puerta de enlace ya que el acceso a internet esta configurado en la 192.168.1.7 la cual tiene como puerta de enlace el fireware 192.168.1.1 y ambas tiene como dns preferido a 192.168.1.6
Saludos y gracias por tu tiempo.
xcrespo
Mensajes: 15
Registrado: 21 Nov 2007, 15:47

Mensaje por xcrespo »

en tu segunda política pones "set fsae enable", este opción no la veo al crear una nueva política, el resto de opciones las tengo igual...

en la configuración del fortigate(network/options) tengo puesto como dns primario y secundario los de telefonica debería de poner primero mi dns
192.168.1.6???
Avatar de Usuario
gabyrossi
Mensajes: 10899
Registrado: 30 Oct 2007, 19:47

Mensaje por gabyrossi »

Hola, en la politica estas autenticando por active deirectory y pasando los grupos que necesitas autentucar hacia la derecha (allow) ????
los dns estan bien asi.

con respecto al 1.7 deberia tener salir a internt sin auntenticar (politica arriba de la de autenticacion del ad).

saludos
Gabriel

xcrespo escribió:en tu segunda política pones "set fsae enable", este opción no la veo al crear una nueva política, el resto de opciones las tengo igual...

en la configuración del fortigate(network/options) tengo puesto como dns primario y secundario los de telefonica debería de poner primero mi dns
192.168.1.6???
xcrespo
Mensajes: 15
Registrado: 21 Nov 2007, 15:47

Mensaje por xcrespo »

Con las políticas igual que las que me indicas, con los grupos en allow por supuesto.

Política 1 de internal a wan1 sin autenticarse y el service "DNS".
Política 2 de internal a wan1 con athentification active directory y los grupos en allow, el grupo es de todos los usuarios de dominio.

Dato cuando abro el Explorer con esta configuración da un error de DNS.
Sabemos donde esta localizado el error, pero no se que hacer.

NO lo hago funcionar, de momento desisto y autentifico por fireware.

¿Sabes como refrescar los cambios que se realizan con los grupos de usuarios y sus protections profiles? cuando los cambio tengo que resetear para que se de cuanta de los cambios. ¿No hay ningún comando que los refresque?

Sí se te ocurre algo más...
De todas formas muchas gracias por tu tiempo.
Saludos.
Avatar de Usuario
gabyrossi
Mensajes: 10899
Registrado: 30 Oct 2007, 19:47

Mensaje por gabyrossi »

Hola, como estas? Primero:
entre el server que tenes instalado el fsae y donde tenes el dns si es que son distintos server hace alguna politica para que entre ellos tampoco se autentiquen.
Segundo:
los cambios que queres refrescar cuales son? en donde haces esos cambios?
en el fsae, tiene una configuracion por default que recomiendo cambiarla.
mas que nada los tiempos que los usuario estan autenticados.

La duración de la autenticación de una política se configura por default en “system global timeout” y es de 15 minutos.
El timeout de una política esta definido por el comando “config system session-ttl” y se ajusta por puerto. El valor mínimo es 300 segundos (5 minutos) y el máximo 8 horas.
Hay que ser coherente entre los valores asignados a “system global timeout” y al system session-ttl” para el port en cuestión.

En los Domain Controller donde están o esta instalado el FSAE hay que ajustar como se requiera el parámetro “Dead entry timeout interval”. Por default esta en 480 minutos

(8 horas). Eso implica que quedaran en tabla todos los usuarios autenticados alguna vez con su IP correspondiente hasta que esa IP expire.

espero que te sirva
saludos
Gabriel

xcrespo escribió:Con las políticas igual que las que me indicas, con los grupos en allow por supuesto.

Política 1 de internal a wan1 sin autenticarse y el service "DNS".
Política 2 de internal a wan1 con athentification active directory y los grupos en allow, el grupo es de todos los usuarios de dominio.

Dato cuando abro el Explorer con esta configuración da un error de DNS.
Sabemos donde esta localizado el error, pero no se que hacer.

NO lo hago funcionar, de momento desisto y autentifico por fireware.

¿Sabes como refrescar los cambios que se realizan con los grupos de usuarios y sus protections profiles? cuando los cambio tengo que resetear para que se de cuanta de los cambios. ¿No hay ningún comando que los refresque?

Sí se te ocurre algo más...
De todas formas muchas gracias por tu tiempo.
Saludos.
xcrespo
Mensajes: 15
Registrado: 21 Nov 2007, 15:47

Mensaje por xcrespo »

hola gabriel, tengo un server que hace de:
DNS
DHCP
CONTROLADOR DE DOMINIO
EXCHANGE SERVER 2007
TIENE INSTALADO EL FSAE
este servidor tienes dos tarjetas de red 192.168.1.6,192.168.1.7
el dns esta montador en 1.6 y la salida a internet en la 1.7
resumiendo con las politocas igual que tu me comentas en el post anterior no funciona:
política 1: internal a wan1 1.7 service DNS con nat.
polítoca 2: interna a wan 1 todo igual que tu y athenticando con active directory y los grupos en allow.
despues de hacer esto reinicio el fortigate.

y intento accedere y nada no funciona da un error en el explorador.
un error de dns, sabemos que el problema lo tenemos en el dns, pero no se solucionarlo.

voy a abrir un caso tambien en fortinet a ver si me pueden ayudar tambien.
gracias por tu tiempo.
saludos
Avatar de Usuario
gabyrossi
Mensajes: 10899
Registrado: 30 Oct 2007, 19:47

Mensaje por gabyrossi »

Hola, como estas? las 2 placas de red me desconciertan un poco.
Pero proba de hacer una politica de internal a intenal entre la ip del dns y el controlador de dominio.
tambien hace una politica de internal a wan con las 2 ip de las placas de red para dns.
y luego la politica de active directory.

proba eso
y vemos

saludos


xcrespo escribió:hola gabriel, tengo un server que hace de:
DNS
DHCP
CONTROLADOR DE DOMINIO
EXCHANGE SERVER 2007
TIENE INSTALADO EL FSAE
este servidor tienes dos tarjetas de red 192.168.1.6,192.168.1.7
el dns esta montador en 1.6 y la salida a internet en la 1.7
resumiendo con las politocas igual que tu me comentas en el post anterior no funciona:
política 1: internal a wan1 1.7 service DNS con nat.
polítoca 2: interna a wan 1 todo igual que tu y athenticando con active directory y los grupos en allow.
despues de hacer esto reinicio el fortigate.

y intento accedere y nada no funciona da un error en el explorador.
un error de dns, sabemos que el problema lo tenemos en el dns, pero no se solucionarlo.

voy a abrir un caso tambien en fortinet a ver si me pueden ayudar tambien.
gracias por tu tiempo.
saludos
Responder