Politica con grupo de autenticacion de Windows AD

Para temas sobre el uso de las politicas de filtrado en los productos FortiGate.
Responder
akrog79
Mensajes: 1
Registrado: 18 Mar 2022, 11:27

Politica con grupo de autenticacion de Windows AD

Mensaje por akrog79 »

Buenas tardes,

Tengo una politica que da acceso a internet a un grupo de autenticacion de un Windows Server AD con FSSO.

El problema lo tengo en que ese grupo tarda bastante tiempo en autenticar en el FSSO y por lo tanto en tener internet.

Tengo el FSSO Agent on Windows AD en el Fortigate y el FSSO instalado en el AD con los siguientes timings:

Workstation verify interval (minutes): 10
Dead entry timeout interval (minutes): 480
IP address change verify interval (seconds): 60
Workstation check thread count: 30

Creo que quizas tiene que ser problema de colapso ya que durante la noche o madrugada (con hasta 50 autenticaciones simultaneas) funciona bien, pero cuando llega a 200-250 que es lo comun durante el dia, ya se colapsa y es cuando trae demoras.

Me podeis decir que puede estar ocurriendo y como resolverlo?
Avatar de Usuario
makco10
Mensajes: 1345
Registrado: 03 Jun 2011, 19:42
Ubicación: Honduras
Contactar:

Re: Politica con grupo de autenticacion de Windows AD

Mensaje por makco10 »

Hola,

Puedes intentar correr el siguiente comando: diagnose debug fsso-polling


El detalle del comando diagnose debug fsso-polling muestra información de estado y algunas estadísticas relacionadas con los polls realizadas por FortiGate en cada DC sin agente. Si read log offset aumenta, FortiGate se conecta y lee los registros en el controlador de dominio. Si read log offset aumenta pero no obtiene ningún evento de inicio de sesión, verifique que el filtro de grupo sea correcto y que el controlador de dominio esté creando el IDS de evento correcto.

El comando refresh-user descarga información sobre todos los usuarios activos de FSSO. En el modo de sondeo sin agente, FortiGate sondea con frecuencia el visor de eventos para obtener los eventos de inicio de sesión. Puedes hacer un sniffer de este tráfico en el puerto 445.

Además, hay un demonio FortiGate específico que maneja el modo de sondeo. Es el demonio fssod. Para habilitar la depuración en tiempo real del modo de sondeo sin agente, use el díagnose debug application fssod -1 comando.

También te puedes apoyar con los siguientes consejos, que son útiles en muchas situaciones de solución de problemas de FSSO:

FSSO tiene una cantidad de puertos necesarios que deben permitirse a través de todos los firewalls, o las conexiones fallarán. Estos incluyen los puertos: 139 (verificación de la estación de trabajo), 445 (verificación de la estación de trabajo y sondeo del registro de eventos), 389 (LDAP) y 445 y 636 (LDAPS).

Configure la configuración del tráfico entre FortiGate y los controladores de dominio para garantizar que el ancho de banda mínimo esté siempre disponible. Si no hay suficiente ancho de banda, es posible que parte de la información de FSSO no llegue a FortiGate.

En un entorno todo Windows, Silencie las sesiones inactivas. De lo contrario, puede hacer que una sesión para una máquina no autenticada salga como un usuario autenticado. Esto puede ocurrir si la concesión de DHCP caduca para el usuario autenticado y el agente recopilador puede verificar que el usuario efectivamente ha cerrado la sesión.

Asegúrese de que el DNS esté configurado correctamente y actualice las direcciones IP si cambia la dirección IP de las estaciones de trabajo.

Nunca establezca el intervalo de verificación de la estación de trabajo en 0. Esto evita que el agente recopilador venza las entradas obsoletas. Solo pueden ser eliminados por un nuevo evento que los mite. Esto puede ser especialmente peligroso en entornos donde los usuarios de FSSO y no FSSO comparten el mismo grupo de DHCP.

Cuando utilice únicamente la autenticación pasiva, incluya el grupo de usuarios invitados en una política y concédales acceso. Asociar su grupo con una política de seguridad. Si se usa la autenticación activa como respaldo, asegúrese de que SSO_Guest_User no se agregue a las políticas. SSO_Guest_User y la autenticación activa se excluyen mutuamente.

Saludos.
Defend Your Enterprise Network With Fortigate Next Generation Firewall

NSE4
NSE5
Responder