No identifica usuarios por FSSO

Para discusiones sobre temas técnicos (solución de problemas, configuraciones) cuyo tema no pertenezca especificamente a otros foros.
Responder
thejerry007
Mensajes: 17
Registrado: 03 Nov 2011, 21:58

No identifica usuarios por FSSO

Mensaje por thejerry007 »

Hola comunidad..

Nuevamente pidiendo ayuda. Les cuento mi siguiente escenario, tengo dos sedes

Sitio A
Fortigate 100D- IP 192.168.1.1
Controlador de dominio Windows 2012 IP 192.168.1.2
DNS : 192.168.1.2
GATWAY: 192.168.1.1

Acá tengo configurado el FSSO en modo poll y los usuario son identificados y navegan correctamente
Tengo una VPN IPSEC entre ambos fortigate

Sitio B
Fortigate 60D
Controlador de dominio Windows 2012 IP 192.168.2.2( es una réplica del controlador del sitio a)
DNS : 192.168.2.2 y alternativo 192.168.1.2
GATWAY: 192.168.2.1

El problema está en el sitio B, quiero configurar el fortigate con FSSO para que pueda hacer políticas por grupos de usuarios. Pero sucede lo siguiente.

1. Si configuro el FSSO en modo POLL al servidor 192.168.2.2, en el fortigate me identifica solo algunos usuarios, más o menos el 10% de ellos, pero de forma variable por ejemplo hoy identifica el usuario1, pero mañana no, todo el resto salen como invitados.

---# diag deb auth fsso list
----FSSO logons----
IP: 192.168.2.78 User: ---.--- Groups: CN=G_Surf_Usuarios,OU=Grupos,OU=MAS,DC=MAS,DC=LOCAL Workstation: MemberOf: Poll_Usuarios
Total number of logons listed: 1, filtered: 0
----end of FSSO logons----



2. Si configuro en modo agente, instalo el agente en el controlador del sitio B, le digo que voy a monitorear ese servidor, pero el fortigaste no identifica ningún usuario, todos salen como invitados, en el agente si se ven los usuarios que estan siendo monitoreados

Cabe aclarar que en este fortigate tengo habilitado el reconocimiento de dispositivos, que creería no afecta en nada ..


Cualquier ayuda muchas gracias
Avatar de Usuario
gabyrossi
Mensajes: 10898
Registrado: 30 Oct 2007, 19:47

Re: No identifica usuarios por FSSO

Mensaje por gabyrossi »

hola,

es el mismo dominio para los 2 sitios?

hay gente del sitio1 que se mueve al 2 y viceversa?
si esto no courre, podes manajar el fsso por seperado. cada sitio con su fsso y que no vea el otro DC.

a mi me gusta modo agente. pero eso es a gusto y probando cual les funciona mejor.

saludos.
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
thejerry007
Mensajes: 17
Registrado: 03 Nov 2011, 21:58

Re: No identifica usuarios por FSSO

Mensaje por thejerry007 »

Hola

te cuento que si es el mismo dominio y que si se mueven usuarios entre ambos lados..
el fsso lo tenia configurado para cada sitio .

pedi soporte con fortigate y al final me solucionaron, tenia dos detalles.

uno en la configuracion de "Single Sign-On Server" tenia seleccionado el servidor LDAP, no era necesario .
y dos en el agente cambiaron el modo "avanzado" y listo funciono.
Responder