Autenticación NTLM en Fortigate

Para temas sobre el uso de las politicas de filtrado en los productos FortiGate.
Responder
cmendoza
Mensajes: 123
Registrado: 07 Abr 2007, 00:36
Ubicación: Burgos, España

Autenticación NTLM en Fortigate

Mensaje por cmendoza »

Hola.

Alguien ha conseguido hacer funcionar la autenticación por NTLM???... Me funciona bien la autenticación mediante Directorio Activo, pero no cuando la configuro por NTLM... he buscado por internet y no encuentro nada...

Alguien me puede echar una mano???

Gracias.
Avatar de Usuario
gabyrossi
Mensajes: 10899
Registrado: 30 Oct 2007, 19:47

Re: Autenticación NTLM en Fortigate

Mensaje por gabyrossi »

Hola, como estas? pudiste hacer andar politicas autenticadas con el A.D. que bien. felicitaciones , costo pero salio.

bueno lo de ntlm es mas facil.

Al igual que en la autenticación por AD, se tiene instalado el FSAE por el cual el Fortigate se comunica con el AD para validar el usuario y contraseña.
Este tipo de autenticación se usa cuando las PC’S no están agregadas al dominio, lo cual pedirá: nombre de dominio\usuario y password.
La política se arma también parecida a la que se usa en autenticación con AD salvo que se elije Autenticación NTLM y se agregan los grupos de AD de usuarios que usan esas PC’s que no están en el dominio.

Una combinación de esta política y otra política de autenticación con AD se pueden usar para tomar todas las PC’s que estén o no dentro del dominio.
Importante:
Se deberá poder tener registradas las PC’s que están fuera del dominio para que en la política que autentica usando NTLM se ponga como source address, un grupo o rangos de IP para que finalmente las PC’s que estén fuera del dominio usen esa política y no la del AD u otra que haya.
La politica de ntlm va arriba de la de A.d.

espero que te sirva la ayuda

saludos
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
cmendoza
Mensajes: 123
Registrado: 07 Abr 2007, 00:36
Ubicación: Burgos, España

Re: Autenticación NTLM en Fortigate

Mensaje por cmendoza »

Hola.

No me funcionaba por dos motivos:
* El agente de FSAE era antiguo y no admitia la funcionalidad de NTLM
* Debe haber un bug en los Fortigate que cuando el "nombre de dominio"\"grupo del dominio" es muy largo, hay problemas y no funciona bien. Esto me ha pasado alguna vez configurando VPNs mediante certificados, cuando el CN del certificado era muy largo, la última parte de dicho certificado la ignora, lo cual es un pequeño problema con los certificados de la FNMT, ya que la parte más importante va al final (Ej: NOMBRE: APELLIDO1 APELLIDO2 NOMBRE1 - DNI 12345678Z), por lo cual una persona con el mismo nombre y distinto DNI podría llegar a conectarse... aunque todavía necesitaría un usuario y contraseña para la autenticación extendida.

Saludos.
Avatar de Usuario
gabyrossi
Mensajes: 10899
Registrado: 30 Oct 2007, 19:47

Re: Autenticación NTLM en Fortigate

Mensaje por gabyrossi »

hola, como estas? tenes una politica de AD. y arriba otra con auntenticacion por ntlm?

saludos
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
cmendoza
Mensajes: 123
Registrado: 07 Abr 2007, 00:36
Ubicación: Burgos, España

Re: Autenticación NTLM en Fortigate

Mensaje por cmendoza »

Hola

gabyrossi escribió:tenes una politica de AD. y arriba otra con auntenticacion por ntlm?


Si, lo único que para que no se solapen las reglas solo pongo ciertas IPs para el NTLM. Tenía pensado utilizar NTLM para un servidor de terminales, pero el problema es que por cada dominio diferente te vuelve a pedir las credenciales. El problema se agrava en páginas como terra.es, que tiene enlaces a otros 5 o 6 dominios y te pide la autenticación una vez por cada uno.

Alguien sabe si se puede hacer algo para que solo la pueda pedir una vez???

Saludos.
Avatar de Usuario
gabyrossi
Mensajes: 10899
Registrado: 30 Oct 2007, 19:47

Re: Autenticación NTLM en Fortigate

Mensaje por gabyrossi »

Hola , No te olvides que en la politica del Ad, tambien tenes para usar el guest profile.

saludos
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
Responder