authenticarse en active directory
authenticarse en active directory
Hola de nuevo.
Tengo un problema. Estoy haciendo pruebas de FSAE(FORTINET SERVER AUTHENTICATION EXTENSION).
Lo instalo en un pc no en el servidor de dominio. Pero con la clave de administrador como es lógico.
En el fortigate 60. User/Windows AD. Lo configuro con la maquina donde e instalado el FSAE, actualizo y veo todos los grupos del active directory,
hasta aqui todo correcto.
Luego en user group creo un grupo donde meto los usuarios de dominio de mi dominio, para hacer una prueba con todos.
Cuando voy a politicas y en la de internal1 a wan1 le pongo
authentication ad, y le meto el grupo que e creado en este momento no puede navegar nadie.Parece que no se authentican lo usuarios.
¿por que?
Gracias de antemano.
Saludos.
Tengo un problema. Estoy haciendo pruebas de FSAE(FORTINET SERVER AUTHENTICATION EXTENSION).
Lo instalo en un pc no en el servidor de dominio. Pero con la clave de administrador como es lógico.
En el fortigate 60. User/Windows AD. Lo configuro con la maquina donde e instalado el FSAE, actualizo y veo todos los grupos del active directory,
hasta aqui todo correcto.
Luego en user group creo un grupo donde meto los usuarios de dominio de mi dominio, para hacer una prueba con todos.
Cuando voy a politicas y en la de internal1 a wan1 le pongo
authentication ad, y le meto el grupo que e creado en este momento no puede navegar nadie.Parece que no se authentican lo usuarios.
¿por que?
Gracias de antemano.
Saludos.
Re: authenticarse en active directory
hola, como estas? el fsae se instala en el o los controladorees de dominio.
tendras que hacer una pilitica antes con el dns, para que pueda consultarlo.
hay un buen documento (powerpoint)sobre esto:
[Debes identificarte para poder ver enlaces.]
saludos
tendras que hacer una pilitica antes con el dns, para que pueda consultarlo.
hay un buen documento (powerpoint)sobre esto:
[Debes identificarte para poder ver enlaces.]
saludos
xcrespo escribió:Hola de nuevo.
Tengo un problema. Estoy haciendo pruebas de FSAE(FORTINET SERVER AUTHENTICATION EXTENSION).
Lo instalo en un pc no en el servidor de dominio. Pero con la clave de administrador como es lógico.
En el fortigate 60. User/Windows AD. Lo configuro con la maquina donde e instalado el FSAE, actualizo y veo todos los grupos del active directory,
hasta aqui todo correcto.
Luego en user group creo un grupo donde meto los usuarios de dominio de mi dominio, para hacer una prueba con todos.
Cuando voy a politicas y en la de internal1 a wan1 le pongo
authentication ad, y le meto el grupo que e creado en este momento no puede navegar nadie.Parece que no se authentican lo usuarios.
¿por que?
Gracias de antemano.
Saludos.
Hola ya e instalado el FSAE en el servidor que hace de controlador de dominio, y me pasa lo mismo configuro en el fortigate en
users/windows AD y funciona correctamente puedo ver todos los grupos del dominio. Pero cuando creo los grupos en el fireware del tipo active directory. Y activo la opción de autenticarse en la política de internal a wan1, deja de funcionar ya no navega nadie, parece que no se autentican.
Me comentaste algo de meter una política en el dns.horientame un poco más.
Ya me he leido el power point, pero no se cual es problema..
en el server tengo dos interfaces 192.168.1.6 donde esta configurado el dns
y la 192.168.1.7 donde tengo configurado internet con la puerta de enlace hacia el fortigate 192.168.1.1
Gracias de antemano .
SAludos
users/windows AD y funciona correctamente puedo ver todos los grupos del dominio. Pero cuando creo los grupos en el fireware del tipo active directory. Y activo la opción de autenticarse en la política de internal a wan1, deja de funcionar ya no navega nadie, parece que no se autentican.
Me comentaste algo de meter una política en el dns.horientame un poco más.
Ya me he leido el power point, pero no se cual es problema..
en el server tengo dos interfaces 192.168.1.6 donde esta configurado el dns
y la 192.168.1.7 donde tengo configurado internet con la puerta de enlace hacia el fortigate 192.168.1.1
Gracias de antemano .
SAludos
Hola, como estas? arriba de la politica que autentica con el ad hace una que sea de internal a wan pero con direccion ip (tu dns) hacia afuera sin que este para autenticar. Tambien una politica entre el dns y donde instalaste el fsae si son server disitntos.
espero que sirva saludos
Gabriel
espero que sirva saludos
Gabriel
xcrespo escribió:cuando instalo el FSAE cuando pide la direccion de la maquina le pongo la
192.168.1.7 en el puerto por defecto
hola gaby e creado una politica por encima de todas de internal a wan1
con la ip del servidor dns. El servidor DNS y el mismo que el controlador de dominio. Este servidor tiene dos tarjetas de red una 192.168.1.6 y 192.168.1.7
Después de hacer la politica pongo que se authentique en la politica correspondiente (internal a wan1 todos), y no puedo navegar.
Los puertos 139 445 estan correctamente abiertos.
No se que puede ser, de momento voy a authenticarlos por firewall.
Pero de todas formas me gustaria lograr integrarlo con acive directory.
¿tienes alguna otra idea?
Perdonar las molestias.
Saludos[/img]
con la ip del servidor dns. El servidor DNS y el mismo que el controlador de dominio. Este servidor tiene dos tarjetas de red una 192.168.1.6 y 192.168.1.7
Después de hacer la politica pongo que se authentique en la politica correspondiente (internal a wan1 todos), y no puedo navegar.
Los puertos 139 445 estan correctamente abiertos.
No se que puede ser, de momento voy a authenticarlos por firewall.
Pero de todas formas me gustaria lograr integrarlo con acive directory.
¿tienes alguna otra idea?
Perdonar las molestias.
Saludos[/img]
Hola, como estas?
Mira yo tengo estas politicas y anda bien
edit 1
set srcintf "internal"
set dstintf "wan1"
set srcaddr "AD"
set dstaddr "all"
set action accept
set schedule "always"
set service "DNS"
set logtraffic enable
set nat enable
next
edit 2
set srcintf "internal"
set dstintf "wan1"
set srcaddr "all"
set dstaddr "all"
set action accept
set schedule "always"
set service "ANY"
set logtraffic enable
set fsae enable
set label "Politica con AD"
set nat enable
set groups "ConInternet" "SinInternet"
next
end
algunos comandos que pueden servirte para chequear si estan logueados:
Antes de correr cualquier comando “diagnose debug” hay que habilitar con “diagnose debug enable”
#diagnose debug authd fsae <opciones>
las <opciones> son:
clear-logons limpia información de logon
list lista logons actuales 'vivos'
refresh-groups refrescar los mapeos de grupos
refresh-logons re-sincronizar la base de datos de logons
server-status muestra status de la conexion con server FSAE
summary resumen de los logons actuales
#diagnose debug authd <opciones>
las <opciones> son:
clear limpia las estructuras de datos internas y sesiones 'vivas'
fsae módulo cliente FSAE
consulta:
parado en el ad le haces ping al dns? el dns tiene salida a internet?
saludos
espero que sirva
Gabriel
Mira yo tengo estas politicas y anda bien
edit 1
set srcintf "internal"
set dstintf "wan1"
set srcaddr "AD"
set dstaddr "all"
set action accept
set schedule "always"
set service "DNS"
set logtraffic enable
set nat enable
next
edit 2
set srcintf "internal"
set dstintf "wan1"
set srcaddr "all"
set dstaddr "all"
set action accept
set schedule "always"
set service "ANY"
set logtraffic enable
set fsae enable
set label "Politica con AD"
set nat enable
set groups "ConInternet" "SinInternet"
next
end
algunos comandos que pueden servirte para chequear si estan logueados:
Antes de correr cualquier comando “diagnose debug” hay que habilitar con “diagnose debug enable”
#diagnose debug authd fsae <opciones>
las <opciones> son:
clear-logons limpia información de logon
list lista logons actuales 'vivos'
refresh-groups refrescar los mapeos de grupos
refresh-logons re-sincronizar la base de datos de logons
server-status muestra status de la conexion con server FSAE
summary resumen de los logons actuales
#diagnose debug authd <opciones>
las <opciones> son:
clear limpia las estructuras de datos internas y sesiones 'vivas'
fsae módulo cliente FSAE
consulta:
parado en el ad le haces ping al dns? el dns tiene salida a internet?
saludos
espero que sirva
Gabriel
xcrespo escribió:hola gaby e creado una politica por encima de todas de internal a wan1
con la ip del servidor dns. El servidor DNS y el mismo que el controlador de dominio. Este servidor tiene dos tarjetas de red una 192.168.1.6 y 192.168.1.7
Después de hacer la politica pongo que se authentique en la politica correspondiente (internal a wan1 todos), y no puedo navegar.
Los puertos 139 445 estan correctamente abiertos.
No se que puede ser, de momento voy a authenticarlos por firewall.
Pero de todas formas me gustaria lograr integrarlo con acive directory.
¿tienes alguna otra idea?
Perdonar las molestias.
Saludos[/img]
Hola, en la politica estas autenticando por active deirectory y pasando los grupos que necesitas autentucar hacia la derecha (allow) ????
los dns estan bien asi.
con respecto al 1.7 deberia tener salir a internt sin auntenticar (politica arriba de la de autenticacion del ad).
saludos
Gabriel
los dns estan bien asi.
con respecto al 1.7 deberia tener salir a internt sin auntenticar (politica arriba de la de autenticacion del ad).
saludos
Gabriel
xcrespo escribió:en tu segunda política pones "set fsae enable", este opción no la veo al crear una nueva política, el resto de opciones las tengo igual...
en la configuración del fortigate(network/options) tengo puesto como dns primario y secundario los de telefonica debería de poner primero mi dns
192.168.1.6???
Con las políticas igual que las que me indicas, con los grupos en allow por supuesto.
Política 1 de internal a wan1 sin autenticarse y el service "DNS".
Política 2 de internal a wan1 con athentification active directory y los grupos en allow, el grupo es de todos los usuarios de dominio.
Dato cuando abro el Explorer con esta configuración da un error de DNS.
Sabemos donde esta localizado el error, pero no se que hacer.
NO lo hago funcionar, de momento desisto y autentifico por fireware.
¿Sabes como refrescar los cambios que se realizan con los grupos de usuarios y sus protections profiles? cuando los cambio tengo que resetear para que se de cuanta de los cambios. ¿No hay ningún comando que los refresque?
Sí se te ocurre algo más...
De todas formas muchas gracias por tu tiempo.
Saludos.
Política 1 de internal a wan1 sin autenticarse y el service "DNS".
Política 2 de internal a wan1 con athentification active directory y los grupos en allow, el grupo es de todos los usuarios de dominio.
Dato cuando abro el Explorer con esta configuración da un error de DNS.
Sabemos donde esta localizado el error, pero no se que hacer.
NO lo hago funcionar, de momento desisto y autentifico por fireware.
¿Sabes como refrescar los cambios que se realizan con los grupos de usuarios y sus protections profiles? cuando los cambio tengo que resetear para que se de cuanta de los cambios. ¿No hay ningún comando que los refresque?
Sí se te ocurre algo más...
De todas formas muchas gracias por tu tiempo.
Saludos.
Hola, como estas? Primero:
entre el server que tenes instalado el fsae y donde tenes el dns si es que son distintos server hace alguna politica para que entre ellos tampoco se autentiquen.
Segundo:
los cambios que queres refrescar cuales son? en donde haces esos cambios?
en el fsae, tiene una configuracion por default que recomiendo cambiarla.
mas que nada los tiempos que los usuario estan autenticados.
La duración de la autenticación de una política se configura por default en “system global timeout” y es de 15 minutos.
El timeout de una política esta definido por el comando “config system session-ttl” y se ajusta por puerto. El valor mínimo es 300 segundos (5 minutos) y el máximo 8 horas.
Hay que ser coherente entre los valores asignados a “system global timeout” y al system session-ttl” para el port en cuestión.
En los Domain Controller donde están o esta instalado el FSAE hay que ajustar como se requiera el parámetro “Dead entry timeout interval”. Por default esta en 480 minutos
(8 horas). Eso implica que quedaran en tabla todos los usuarios autenticados alguna vez con su IP correspondiente hasta que esa IP expire.
espero que te sirva
saludos
Gabriel
entre el server que tenes instalado el fsae y donde tenes el dns si es que son distintos server hace alguna politica para que entre ellos tampoco se autentiquen.
Segundo:
los cambios que queres refrescar cuales son? en donde haces esos cambios?
en el fsae, tiene una configuracion por default que recomiendo cambiarla.
mas que nada los tiempos que los usuario estan autenticados.
La duración de la autenticación de una política se configura por default en “system global timeout” y es de 15 minutos.
El timeout de una política esta definido por el comando “config system session-ttl” y se ajusta por puerto. El valor mínimo es 300 segundos (5 minutos) y el máximo 8 horas.
Hay que ser coherente entre los valores asignados a “system global timeout” y al system session-ttl” para el port en cuestión.
En los Domain Controller donde están o esta instalado el FSAE hay que ajustar como se requiera el parámetro “Dead entry timeout interval”. Por default esta en 480 minutos
(8 horas). Eso implica que quedaran en tabla todos los usuarios autenticados alguna vez con su IP correspondiente hasta que esa IP expire.
espero que te sirva
saludos
Gabriel
xcrespo escribió:Con las políticas igual que las que me indicas, con los grupos en allow por supuesto.
Política 1 de internal a wan1 sin autenticarse y el service "DNS".
Política 2 de internal a wan1 con athentification active directory y los grupos en allow, el grupo es de todos los usuarios de dominio.
Dato cuando abro el Explorer con esta configuración da un error de DNS.
Sabemos donde esta localizado el error, pero no se que hacer.
NO lo hago funcionar, de momento desisto y autentifico por fireware.
¿Sabes como refrescar los cambios que se realizan con los grupos de usuarios y sus protections profiles? cuando los cambio tengo que resetear para que se de cuanta de los cambios. ¿No hay ningún comando que los refresque?
Sí se te ocurre algo más...
De todas formas muchas gracias por tu tiempo.
Saludos.
hola gabriel, tengo un server que hace de:
DNS
DHCP
CONTROLADOR DE DOMINIO
EXCHANGE SERVER 2007
TIENE INSTALADO EL FSAE
este servidor tienes dos tarjetas de red 192.168.1.6,192.168.1.7
el dns esta montador en 1.6 y la salida a internet en la 1.7
resumiendo con las politocas igual que tu me comentas en el post anterior no funciona:
política 1: internal a wan1 1.7 service DNS con nat.
polítoca 2: interna a wan 1 todo igual que tu y athenticando con active directory y los grupos en allow.
despues de hacer esto reinicio el fortigate.
y intento accedere y nada no funciona da un error en el explorador.
un error de dns, sabemos que el problema lo tenemos en el dns, pero no se solucionarlo.
voy a abrir un caso tambien en fortinet a ver si me pueden ayudar tambien.
gracias por tu tiempo.
saludos
DNS
DHCP
CONTROLADOR DE DOMINIO
EXCHANGE SERVER 2007
TIENE INSTALADO EL FSAE
este servidor tienes dos tarjetas de red 192.168.1.6,192.168.1.7
el dns esta montador en 1.6 y la salida a internet en la 1.7
resumiendo con las politocas igual que tu me comentas en el post anterior no funciona:
política 1: internal a wan1 1.7 service DNS con nat.
polítoca 2: interna a wan 1 todo igual que tu y athenticando con active directory y los grupos en allow.
despues de hacer esto reinicio el fortigate.
y intento accedere y nada no funciona da un error en el explorador.
un error de dns, sabemos que el problema lo tenemos en el dns, pero no se solucionarlo.
voy a abrir un caso tambien en fortinet a ver si me pueden ayudar tambien.
gracias por tu tiempo.
saludos
Hola, como estas? las 2 placas de red me desconciertan un poco.
Pero proba de hacer una politica de internal a intenal entre la ip del dns y el controlador de dominio.
tambien hace una politica de internal a wan con las 2 ip de las placas de red para dns.
y luego la politica de active directory.
proba eso
y vemos
saludos
Pero proba de hacer una politica de internal a intenal entre la ip del dns y el controlador de dominio.
tambien hace una politica de internal a wan con las 2 ip de las placas de red para dns.
y luego la politica de active directory.
proba eso
y vemos
saludos
xcrespo escribió:hola gabriel, tengo un server que hace de:
DNS
DHCP
CONTROLADOR DE DOMINIO
EXCHANGE SERVER 2007
TIENE INSTALADO EL FSAE
este servidor tienes dos tarjetas de red 192.168.1.6,192.168.1.7
el dns esta montador en 1.6 y la salida a internet en la 1.7
resumiendo con las politocas igual que tu me comentas en el post anterior no funciona:
política 1: internal a wan1 1.7 service DNS con nat.
polítoca 2: interna a wan 1 todo igual que tu y athenticando con active directory y los grupos en allow.
despues de hacer esto reinicio el fortigate.
y intento accedere y nada no funciona da un error en el explorador.
un error de dns, sabemos que el problema lo tenemos en el dns, pero no se solucionarlo.
voy a abrir un caso tambien en fortinet a ver si me pueden ayudar tambien.
gracias por tu tiempo.
saludos