Problemas autenticacion FSSO

Para temas sobre el uso de las politicas de filtrado en los productos FortiGate.
Responder
gaara
Mensajes: 53
Registrado: 03 Dic 2014, 12:24

Problemas autenticacion FSSO

Mensaje por gaara »

Buenas,
No veo login de FSSO de los usuarios en los log del Firewall. Ni en Event Log --> Users Ni en Monitor --> Firewall

Creo que lo tengo bien configurado:
Tengo 3 AD configurados, veo los 3 en "Show Monitored DCs"
Veo usuarios logados y todos en OK en "Show Logon Users"
Veo la conexión con el Firewall correctamente "Show Services Status" en el AD principal
He creado un "USER GROUP" del tipo FSSO donde he metido solo mi usuario del dominio para pruebas, creo una política de prueba y no veo ningún login FSSO...


Que me puede estar sucediendo?
Avatar de Usuario
makco10
Mensajes: 1345
Registrado: 03 Jun 2011, 19:42
Ubicación: Honduras
Contactar:

Re: Problemas autenticacion FSSO

Mensaje por makco10 »

Hola,

Que version de forti OS usa tu fortigate?.
Defend Your Enterprise Network With Fortigate Next Generation Firewall

NSE4
NSE5
gaara
Mensajes: 53
Registrado: 03 Dic 2014, 12:24

Re: Problemas autenticacion FSSO

Mensaje por gaara »

5.2.7
Avatar de Usuario
makco10
Mensajes: 1345
Registrado: 03 Jun 2011, 19:42
Ubicación: Honduras
Contactar:

Re: Problemas autenticacion FSSO

Mensaje por makco10 »

Compara tu configuración con este how to do : [Debes identificarte para poder ver enlaces.]

Pendiente.
Defend Your Enterprise Network With Fortigate Next Generation Firewall

NSE4
NSE5
gaara
Mensajes: 53
Registrado: 03 Dic 2014, 12:24

Re: Problemas autenticacion FSSO

Mensaje por gaara »

Lo tengo todo igual menos el paso 2 que yo lo tengo configurado como "Single Sign-On agent" en vez de "Poll active directory server" como pone en el How to do.

No creo que sea ese el motivo por el que no veo logins de usuario y que las reglas que he creado de prueba no surjan efecto..
Algo estoy haciendo mal y no sé el qué!!
Garsa
Mensajes: 94
Registrado: 01 Ago 2014, 21:37

Re: Problemas autenticacion FSSO

Mensaje por Garsa »

Hola Gaara,

Puedes añadir el output de los siguientes comandos?

di de authd memory

En tu Collector Agent (donde miras Show Service Status and Show Logon Users) tienes tu dominio seleccionado en Select Domains to Monitor y los grupos o usuarios definidos en el Default Filter (Filtro especifico si configuraste alguno en Set Group Filters?

Saludos,

Garsa
gaara
Mensajes: 53
Registrado: 03 Dic 2014, 12:24

Re: Problemas autenticacion FSSO

Mensaje por gaara »

Garsa escribió: 25 May 2017, 22:40 Hola Gaara,

Puedes añadir el output de los siguientes comandos?

di de authd memory

En tu Collector Agent (donde miras Show Service Status and Show Logon Users) tienes tu dominio seleccionado en Select Domains to Monitor y los grupos o usuarios definidos en el Default Filter (Filtro especifico si configuraste alguno en Set Group Filters?

Saludos,

Garsa

Muy buenas,
Si, tengo seleccionado el Dominio y creado un user group con mi usuario para hacer las pruebas.

El comando "diagnose debug authd memory" no me saca nada.
Garsa
Mensajes: 94
Registrado: 01 Ago 2014, 21:37

Re: Problemas autenticacion FSSO

Mensaje por Garsa »

hmmm ...

Si te vas a USer & Device -> Authentication -> Single Sign-on, el estado de tu server esta conectado (chulo verde) o desconectado (x gris o roja creo)?
Si esta verde y le das editar, te sale la el mismo grupo que me dijiste creaste de prueba y asignaste en el default filter en el collector agent?

Si te vas para USer & Device -> Monitor -> Firewall y marcas la casilla (show all fsso logons) arriba a la derecha, te salen los mismo logs que cuando le das en "Show Logon Users" en el collector agent?

Saludos,

Garsa
gaara
Mensajes: 53
Registrado: 03 Dic 2014, 12:24

Re: Problemas autenticacion FSSO

Mensaje por gaara »

Garsa escribió: 30 May 2017, 20:22 hmmm ...

Si te vas a USer & Device -> Authentication -> Single Sign-on, el estado de tu server esta conectado (chulo verde) o desconectado (x gris o roja creo)?
Si esta verde y le das editar, te sale la el mismo grupo que me dijiste creaste de prueba y asignaste en el default filter en el collector agent?
ME SALE EN VERDE (CONECTADO) Y NO ME SALE (ni me deja seleccionar,adjunto imagen) NINGÚN GRUPO

Si te vas para USer & Device -> Monitor -> Firewall y marcas la casilla (show all fsso logons) arriba a la derecha, te salen los mismo logs que cuando le das en "Show Logon Users" en el collector agent?
NO ME SALEN, ME SALEN TODOS "Firewalls" o "RSSO"

Saludos,

Garsa
No tiene los permisos requeridos para ver los archivos adjuntos a este mensaje.
Garsa
Mensajes: 94
Registrado: 01 Ago 2014, 21:37

Re: Problemas autenticacion FSSO

Mensaje por Garsa »

Gaara,

Ahi esta parte del problema, el FGTE no recibe los grupos. Ahi te deberia salir el grupo que me dijiste que escogiste en Set Group filters en el Collector Agent.

Mira los adjuntos y me dejas saber como sale en tu CA.

Saludos,

Garsa
No tiene los permisos requeridos para ver los archivos adjuntos a este mensaje.
gaara
Mensajes: 53
Registrado: 03 Dic 2014, 12:24

Re: Problemas autenticacion FSSO

Mensaje por gaara »

Garsa escribió: 01 Jun 2017, 19:29 Gaara,

Ahi esta parte del problema, el FGTE no recibe los grupos. Ahi te deberia salir el grupo que me dijiste que escogiste en Set Group filters en el Collector Agent.

Mira los adjuntos y me dejas saber como sale en tu CA.

Saludos,

Garsa

Buenas, ya lo dejé como en las fotos que adjuntas, ya me salen los grupos pero sigo sin ver los login en USer & Device -> Monitor -> Firewall
He creado una política de prueba donde he metido el user group creado con mi usuario y nada, no veo logins..
No tiene los permisos requeridos para ver los archivos adjuntos a este mensaje.
Garsa
Mensajes: 94
Registrado: 01 Ago 2014, 21:37

Re: Problemas autenticacion FSSO

Mensaje por Garsa »

Gaara,

Eso grupos no son del FSSO CA mas del LDAP server que tienes seleccionado.
Veo que tienes varios CA, si este FSSO lo tienes en producción con los grupos AD, crea otro que se conecte al otro CA y no selecciones un LDAP server.
Me confirmas otra vez, cuando vas a Service Status en el CA, ves la IP y SN de el Fortigate en question?

Y esta no se si ya te la pregunte, pero en User & Device -> Monitor -> Firewall, arriba a la derecha hay un check que dice "Mostrar all FSSO Logons" lo tienes habilitado obviamente cierto?

Saludos,

Garsa
rquagliano
Mensajes: 1
Registrado: 26 Jun 2017, 14:58

Re: Problemas autenticacion FSSO

Mensaje por rquagliano »

Hola GEnte, buen dia, queria comentarles un conflicto que tengo con la Autenticacion del FSSO y los AD. tengo un Fortinet 200D v5.2.7,build718 , tengo dos AD , en ellos instalados un FSSO en cada AD, uno como principal y otro como backup. El tema esta que tengo un usuario que esta autenticado en AD01 por ejemplo y ninguno de los FSSO levanta la autenticacion , por ende no navega.. alquien se le ocurre algo?ññ mil gracias. slds.
Garsa
Mensajes: 94
Registrado: 01 Ago 2014, 21:37

Re: Problemas autenticacion FSSO

Mensaje por Garsa »

Saludos Rguagliano,

Necesitariamos ver mas information como la que se pidio en este tema inicialmente:
Cuando dices FSSO me imagino que dices Collector Agent, o quieres decir DC Agent?
Tu configuratio esta en FSSO o polling mode? Compara con este articulo.
[Debes identificarte para poder ver enlaces.]
USer & Device -> Authentication -> Single Sign-on
En tus FSSO (collector Agent) instalados en los AD Servers, como se ve lo siguiente:
"Show Monitored DCs"
"Show Logon Users"
"Show Services Status"
"Show Group Filter"

Saludos Garsa
Avatar de Usuario
gabyrossi
Mensajes: 10898
Registrado: 30 Oct 2007, 19:47

Re: Problemas autenticacion FSSO

Mensaje por gabyrossi »

hola, ojo con esto:

"He creado un "USER GROUP" del tipo FSSO donde he metido solo mi usuario del dominio para pruebas,"

ahi deberias agregar el grupo de AD que quieras ver en tu fortigate con los logons que te pasa en fsso...
revisa bien la doc.
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
Responder