Configuración correcta del FSSO

Para temas referentes al servicio de identificación de contenido de Fortinet (Personalización y configuración de perfiles y categorias de contenido) ofrecido a través del servicio FortiGuard
Responder
Avatar de Usuario
j.urena
Mensajes: 113
Registrado: 04 Mar 2013, 20:52
Ubicación: Republica Dominicana

Configuración correcta del FSSO

Mensaje por j.urena »

Buenas noches amigos,

Tengo un FG620
FortiOs 4 MR3 Parche 12

Tengo 3 servidores de dominio
2 catálogos globales
El FSSO instalados en todos con la siguiente configuración:

Timers
Workstation verify interval 1
Dead entry timeout interval 0
IP address change verify interval 240

AD accesa mode: Standard

Con los grupos de internet seleccionados.

Esta es la política de Firewall:

Código: Seleccionar todo

config firewall policy
    edit 1
        set srcintf "port1"
        set dstintf "port17"
            set srcaddr "Red_Administrativa"
            set dstaddr "all"
        set action accept
        set fsso enable
        set identity-based enable
        set nat enable
            config identity-based-policy
                edit 1
                    set schedule "always"
                    set logtraffic enable
                    set utm-status enable
                        set groups "Internet_Informatica"                                                                                                               
                        set service "ALL"
                    set traffic-shaper "Internet_NH_1Mbps"
                    set traffic-shaper-reverse "Internet_NH_6Mbps"
                    set webfilter-profile "INTERNET_NH_INFORMATICA"
                    set application-list "Administrativo_Ctrl_App_ADSL"
                    set profile-protocol-options "default"
                next
            end
    next
end



En ovaciones tengo problemas de autenticación de parte de los usuarios. Estos inician sección en Windows pero a veces el Fortinet no los detecta o los detecta con una IP diferente al de la máquina y tengo que reiniciar la PC del usuarios hasta 4 veces para que pueda tener los accesos.

Que tendría que hacer para evitar que los usuarios no tengan que reiniciar y volver a autenticarán para que el Fortinet los detecte???

Gracias anticipadas por su acostumbrada ayuda
Uso FG620B
FortiOS v.4 MR3 Parch 12
Avatar de Usuario
gabyrossi
Mensajes: 10879
Registrado: 30 Oct 2007, 19:47

Re: Configuración correcta del FSSO

Mensaje por gabyrossi »

Hola, en los 3 DC tienen el agente instalado?

En el controller principal donde tenes el fsso que ves en show monitor dc ??

Timers:
Los 2 primeros son en minutos...
Yo recomendaria que el 2do lo tengas en el default (480)
el tercero es en seg. y el default tambien estaria bien en 60seg.

tenes maquinas que la usan diferentes usuarios?

saludos.
NSE 5 - 6.0 - Fortinet - Network Security Analyst
FCNSP - FCNSA -
Avatar de Usuario
j.urena
Mensajes: 113
Registrado: 04 Mar 2013, 20:52
Ubicación: Republica Dominicana

Re: Configuración correcta del FSSO

Mensaje por j.urena »

gabyrossi escribió:Hola, en los 3 DC tienen el agente instalado?

En el controller principal donde tenes el fsso que ves en show monitor dc ??

Timers:
Los 2 primeros son en minutos...
Yo recomendaria que el 2do lo tengas en el default (480)
el tercero es en seg. y el default tambien estaria bien en 60seg.

tenes maquinas que la usan diferentes usuarios?

saludos.

Aparecen los 3 DC.

Puse el tercero en 60 segundos pero mantuve el 2do en 0, probé con esta configuración y he tenido menos problemas el día de hoy. Nadie a reportado desconexiones. Qué implicaría tener el 2do valor en 480???

Tengo maquinas que utilizan el mismo usuario y maquinas con diferentes usuarios.
Uso FG620B
FortiOS v.4 MR3 Parch 12
Avatar de Usuario
gabyrossi
Mensajes: 10879
Registrado: 30 Oct 2007, 19:47

Re: Configuración correcta del FSSO

Mensaje por gabyrossi »

Hola, revisa la doc, donde explican para que cada timer.


[Debes identificarte para poder ver enlaces.]

[Debes identificarte para poder ver enlaces.]

saludos.
NSE 5 - 6.0 - Fortinet - Network Security Analyst
FCNSP - FCNSA -
jrobles88
Mensajes: 3
Registrado: 25 Jun 2015, 15:50

Re: Configuración correcta del FSSO

Mensaje por jrobles88 »

En sus experiencias con FSSO en modo agent, que Timers recomiendan utilizar??

Yo tengo uno configurado con:
Workstation verify interval (minutes): 5
Dead entry timeout interval (minutes): 480
IP address change verify interval (seconds): 60

Pero sigo observando que algunos usuarios tienen que cerrar y abrir sesión hasta 5 veces para que tome los permisos.

El firewall tiene firmware versión: 5.2.3
Con FSSO Agent versión: 5.0.0237

Saludos,
Avatar de Usuario
gabyrossi
Mensajes: 10879
Registrado: 30 Oct 2007, 19:47

Re: Configuración correcta del FSSO

Mensaje por gabyrossi »

hola, y dentro del fsso en show logon user, el status de cada usuario lo ves en ok u otro estado?

saludos.
NSE 5 - 6.0 - Fortinet - Network Security Analyst
FCNSP - FCNSA -
jrobles88
Mensajes: 3
Registrado: 25 Jun 2015, 15:50

Re: Configuración correcta del FSSO

Mensaje por jrobles88 »

gabyrossi escribió:hola, y dentro del fsso en show logon user, el status de cada usuario lo ves en ok u otro estado?

saludos.

Hola gabyrossi, efectivamente allí se ven bien, luego validando observe que era un problema con la IP que registraba, habian creado registros DNS de forma manual para algunas maquinas de usuario (Desconozco para que!) pero no habian creado las respectivas reservas en el dhcp, cuando se limpio el dns de todos esos registros funciono mejor...

Ahora tengo un problema,... cuando un usuario hace login en su maquina trabaja sin problemas, pero si por algun motivo deja su maquina en inactividad y vuelve a intentar navegar ya no los deja, y cuando voy a User & Device -> Monitor -> Firewall efectivamente el usuario no aparece, entonces tiene que cerrar su sesión e iniciar de nuevo...

Con relación a este en el Fortios handbook, hablan de un "timeout timer" pero no se donde ubico este timer.. :(

Saben como podré solucionar esto.... no se me ocurre que debo hacer o si debo mover algún timer
Avatar de Usuario
gabyrossi
Mensajes: 10879
Registrado: 30 Oct 2007, 19:47

Re: Configuración correcta del FSSO

Mensaje por gabyrossi »

Hola, en cada pc tienen que tener habilitados los puertos 139 y 445 y tambien el servicio de registro remoto.
Eso usara el fsso para ver si el user/pc esta viva y logueada.

links de ayuda y referencia:

[Debes identificarte para poder ver enlaces.]

[Debes identificarte para poder ver enlaces.]
saludos.
NSE 5 - 6.0 - Fortinet - Network Security Analyst
FCNSP - FCNSA -
Responder