FSSO y Grupos en Active Directory (SOLUCIONADO)

Para temas sobre el uso de las politicas de filtrado en los productos FortiGate.

FSSO y Grupos en Active Directory (SOLUCIONADO)

Notapor ragr » 15 Oct 2013, 19:42

Hola, tengo en la empresa un Fortigate 300C, v4.0,build0665,130514 (MR3 Patch 14).

Para la navegacion de usuarios que estan en Active Directory tengo configurado el FSSO y creados distintos grupos para distintos niveles de navegacion. Todo me funciona muy bien, el problema es por ejemplo:

Tengo al usuario "luis" que pertenece al grupo "A", aplica perfectamente y navega
Siempre al usuario "luis" lo cambio al grupo "B", aplica perfectamente y navega
Cuando al usuario "luis" ya no quiero que pertenezca a ningun grupo para que ya NO navegue, lo saco de todos los grupos y unicamente queda en el grupo de "Usuarios de dominio" que es el que les coloca por defecto a todos los usuarios, y "luis" sigue navegando como si estuviera en el ultimo grupo asignado, siendo que ya no pertenece al grupo.

He utilizado la opcion de gpupdate /force en el usuario para forzar que tome lo que dice el active directory, pero igual me sigue navegando. Pareciera que el FSSO no refresca al usuario. Aunque cuando ingreso a que me muestre los usuarios logueados en la configuracion del agente, el FSSO si mustra correctamente la pertenencia al grupo, pero no lo aplica.

Si reviso en el log de eventos del Forti, el log me dice que el usuario esta autenticandose con el ultimo grupo que tenia asignado, algo que me confunde, ya que como explique antes, el usuario ya no pertence a ningun grupo de navegacion.

Cambie los timers del agente, pero sigo sin resultados.

Podria alguien darme una manito con esto??
No tiene los permisos requeridos para ver los archivos adjuntos a este mensaje.
Última edición por ragr el 16 Oct 2013, 15:24, editado 1 vez en total
ragr
 
Mensajes: 8
Registrado: 27 Sep 2013, 13:54

Re: FSSO y Grupos en Active Directory

Notapor gabyrossi » 16 Oct 2013, 13:21

hola, primero tienen que hacer un clear cache group en el fsso.

luego debes borrarlo del fortigate...
user -> monitor -> buscarlo y borrarlo

luego por cli

# diagnose debug authd fsso filter user luis



# diagnose debug authd fsso clear-logons



espero que sirva.

saludos
FCNSP v.5
FCNSA -
Avatar de Usuario
gabyrossi
 
Mensajes: 8737
Registrado: 30 Oct 2007, 19:47

Re: FSSO y Grupos en Active Directory

Notapor ragr » 16 Oct 2013, 14:09

Muchas gracias!!! me funciono lo de limpiar el cache de grupos y lo de "user -> monitor -> buscarlo y borrarlo"

Un par de preguntas mas:

Si tengo a varios usuarios autenticados y hago la limpieza de cache de grupos, no los afecto por el hecho de que se detiene el servicio de fsso?

Y por ultimo, las lineas desde el cli, se puede decir que es lo mismo que lo de borrar el cache y al usuario solo que desde consola? o es recomendable hacerlo?, ya que me funciono solo con los primeros dos pasos. (borrar cache y eliminar usuario)

Saludos!!!!
ragr
 
Mensajes: 8
Registrado: 27 Sep 2013, 13:54

Re: FSSO y Grupos en Active Directory

Notapor gabyrossi » 16 Oct 2013, 14:24

hola, eliminar el cache de groupos no detiene nada.. solo elimina el cache.. ñluego volvera a cachear cada usuario con cada grupo..

si te funciono solo con eso, perfecto.

slaudos.
FCNSP v.5
FCNSA -
Avatar de Usuario
gabyrossi
 
Mensajes: 8737
Registrado: 30 Oct 2007, 19:47

Re: FSSO y Grupos en Active Directory (SOLUCIONADO)

Notapor ragr » 16 Oct 2013, 15:23

Gracias por tua ayuda!!!! Doy por solucionado mi problema...
ragr
 
Mensajes: 8
Registrado: 27 Sep 2013, 13:54


Volver a Políticas del Firewall