Validacion de usuarios por LDAP

Para temas referentes al servicio de identificación de contenido de Fortinet (Personalización y configuración de perfiles y categorias de contenido) ofrecido a través del servicio FortiGuard
Responder
JorgeCamposH
Mensajes: 18
Registrado: 30 Oct 2014, 21:45

Validacion de usuarios por LDAP

Mensaje por JorgeCamposH » 23 Dic 2014, 21:30

Buenas tardes,

En la empresa desean realizar un filtro de internet mediante usuarios de active directory.

Hasta el momento no he logrado que el fortigate 800C valide los ususarios de AD por LDAP aunque si logre que baje los usuarios del FSSO que esta instalado en AD.

La configuracion del usuario LDAP es:

config user ldap
edit "LDAP_GRUPO"
set server "192.168.0.1"
set cnid "sAMAccountName"
set dn "DC=?,DC=com"
set type regular
set username "usuario\\ fortinet"
set password ENC

Creo que la politica esta bien pero la adjunto por si funciona para resolver el tema:

La politica de internet configurada es:

config firewall identity-based-route
end
config firewall policy

edit 24
set srcintf "Red_Local"
set dstintf "Internet"
set srcaddr "all"
set dstaddr "all"
set action accept
set schedule "always"
set service "ALL"
set logtraffic all
set nat enable
next
edit 41
set srcintf "Red_local"
set dstintf "Internet"
set srcaddr "all"
set action accept
set fsso enable
set identity-based enable
set nat enable
config identity-based-policy
edit 1
set schedule "always"
set logtraffic all
set utm-status enable
set groups "INTERNET_FULL_Access"
set dstaddr "all"
set service "ALL"
set av-profile "default"
set webfilter-profile "INTERNET_FULL"
set ips-sensor "default"
set application-list "INTERNET_FULL"
set profile-protocol-options "default"
set deep-inspection-options "default"
next
edit 5
set schedule "always"
set logtraffic all
set utm-status enable
set groups "INTERNET_NORMAL"
set dstaddr "all"
set service "ALL"
set av-profile "default"
set webfilter-profile "INTERNET_NORMAL"
set ips-sensor "default"
set application-list "INTERNET_NORMAL"
set profile-protocol-options "default"
set deep-inspection-options "default"
next
edit 6
set schedule "always"
set logtraffic all
set utm-status enable
set groups "INTERNET_RESTRINGIDO"
set dstaddr "all"
set service "ALL"
set av-profile "default"
set webfilter-profile "INTERNET_RESTRINGIDO"
set ips-sensor "default"
set application-list "INTERNET_RESTRINGIDO"
set profile-protocol-options "default"
set deep-inspection-options "default"
next
edit 4
set schedule "always"
set logtraffic all
set groups "FSSO_Guest_Users"
set dstaddr "all"
set service "ALL"
next
edit 7
set schedule "always"
set logtraffic all
set utm-status enable
set groups "SIN INTERNET"
set dstaddr "all"
set service "ALL"
set av-profile "default"
set webfilter-profile "SIN INTERNET"
set ips-sensor "default"
set application-list "INTERNET_RESTRINGIDO"
set profile-protocol-options "default"
set deep-inspection-options "default"
next
end
next



Al revisar los log de navegación todos los usuarios son identificados como "guest" y por supuesto no logran salir a internet.

En el perfil de AD ya estan configurados los grupos de internet.

Si alguien me pueda dar una luz se los agradezco

Avatar de Usuario
makco10
Mensajes: 1105
Registrado: 03 Jun 2011, 19:42
Ubicación: Honduras
Contactar:

Re: Validacion de usuarios por LDAP

Mensaje por makco10 » 23 Dic 2014, 21:43

Hola,

Te dejo estas guias para Version 4 y Version 5.

Debes identificarte para poder ver enlaces.


Debes identificarte para poder ver enlaces.


saludos
Defend Your Enterprise Network With Fortigate Next Generation Firewall

Avatar de Usuario
gabyrossi
Mensajes: 10781
Registrado: 30 Oct 2007, 19:47

Re: Validacion de usuarios por LDAP

Mensaje por gabyrossi » 23 Dic 2014, 21:49

gola, los grupos de ad, que creaste son grupos anidados? grupos de grupos?
o son grupos con usuarios directamente dentro?

saludos.
NSE 5 - 6.0 - Fortinet - Network Security Analyst
FCNSP - FCNSA -

JorgeCamposH
Mensajes: 18
Registrado: 30 Oct 2014, 21:45

Re: Validacion de usuarios por LDAP

Mensaje por JorgeCamposH » 24 Dic 2014, 17:34

Buenos dias,

Son grupo de seguridad con usuarios.

Gracias,

Responder