Buenos dias! Mi pregunta es la siguiente, existe alguna forma de hacer que solo cierto usuarios tengo filtrados el acceso a ciertas paginas web, tengo un fortinet 60B, con el firmware 3.00 Mr7 Patch6, y he seguido las instrucciones segun aparece en el documento de fortinet "config_user_ldap.pdf", haciendo las modificaciones pertinentes para adaptarlas a la nueva version, y no consigo hacerlo funcionar de ninguna manera. Comentar que si me funciona la conexion mediante ldap y mediante fsae, y que tengo configurado la conexion para que cierto grupo de usuarios de una ou concreta, puedan acceder mediante vpn ssl al fortinet y funciona bien, pero lo de filtrar mediante politicas no va. Si aplico el protection profile al crear el grupo no va, y si lo aplico al crear la politica del firewall, me lo aplica, pero para todo el mundo, no solo para el grupo restringido que he creado.
Si alguien tiene algun tutorial o algun link para solucionar este problema, se lo agradecere eternamente. Ya he mirado en bujarra.com y en toda la documentacion de fortinet, (que por cierto esta bastante desfasada). Muchisimas gracias por adelantado.
Filtrar paginas web solo algunos usuarios de ActiveDirectory
-
phoenix241
- Mensajes: 32
- Registrado: 11 Ago 2009, 11:24
Re: Filtrar paginas web solo algunos usuarios de ActiveDirectory
Hola, como estas? Si en esa version lo que deberias hacer es una grupo con filtros y otro grupo sin filtros, cada uno con su profile.Los 2 grupos o los que necesites en la misma politica. Eso te va a funcionar.
Fijate que haces con el profile guest.
saludos
Gabriel
Fijate que haces con el profile guest.
saludos
Gabriel
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
NSE 5 - Network Security Analyst
-
phoenix241
- Mensajes: 32
- Registrado: 11 Ago 2009, 11:24
Re: Filtrar paginas web solo algunos usuarios de ActiveDirectory
Hola gabyrossi, gracias por contestarme tan rapido.
En el fortinet no tengo ningun profile guest creado, de hecho no existia ninguno. Siguiendo el ejemplo de config_ldap_user.pdf, he creado un filtro url llamado yahoo, en utm/web filter/url filter, con action block y tipo regex. Despues me he creado un protection profile llamado block-yahoo, y en "protection profile/web filtering/web url filter" he marcado, tanto el http como el https, y en option he elegido el url filter creado anteriormente "yahoo.com".
Despues en "user/remote" he creado un servidor ldap que le he llamado "restricted ou" con "Common Name Identifier" cn, con distinguied name "OU=Restricted OU, DC=DominiodePrueba, DC=local".
A continuacion, en "User/User Group" me he creado un grupo que le he llamado restricted y que llama a los miembros de "restricted ou" creado anteriormente.
La 1ª duda que tengo es cuando llego a este punto al crear el grupo, el tipo de grupo entiendo que Firewall, pero tengo que marcar el check de "Fortiguard Web Filtering Override" y escoger el protection profile aqui, o no marco nada y luego lo escojo a la hora de crear la politica de firewall.
Por ultimo me he creado un politica de firewall, en la que he puesto origen "internal", source addres "all", Destination interface "wan1", destination address "all", action "accept", he marcado el check de "Nat", y he marcado tambien el de "Enable Identity Based Policy" he agregado el user group resticted con el protection profile "block-yahoo".
Con todo esto lo que consigo es que me bloquee yahoo para todos los usuarios y no solo para los del grupo restricted. Comentar que tengo otra politica de firewall a parte que permite a todos navegar sin restriciones.
Gracias por todo y un saludos
En el fortinet no tengo ningun profile guest creado, de hecho no existia ninguno. Siguiendo el ejemplo de config_ldap_user.pdf, he creado un filtro url llamado yahoo, en utm/web filter/url filter, con action block y tipo regex. Despues me he creado un protection profile llamado block-yahoo, y en "protection profile/web filtering/web url filter" he marcado, tanto el http como el https, y en option he elegido el url filter creado anteriormente "yahoo.com".
Despues en "user/remote" he creado un servidor ldap que le he llamado "restricted ou" con "Common Name Identifier" cn, con distinguied name "OU=Restricted OU, DC=DominiodePrueba, DC=local".
A continuacion, en "User/User Group" me he creado un grupo que le he llamado restricted y que llama a los miembros de "restricted ou" creado anteriormente.
La 1ª duda que tengo es cuando llego a este punto al crear el grupo, el tipo de grupo entiendo que Firewall, pero tengo que marcar el check de "Fortiguard Web Filtering Override" y escoger el protection profile aqui, o no marco nada y luego lo escojo a la hora de crear la politica de firewall.
Por ultimo me he creado un politica de firewall, en la que he puesto origen "internal", source addres "all", Destination interface "wan1", destination address "all", action "accept", he marcado el check de "Nat", y he marcado tambien el de "Enable Identity Based Policy" he agregado el user group resticted con el protection profile "block-yahoo".
Con todo esto lo que consigo es que me bloquee yahoo para todos los usuarios y no solo para los del grupo restricted. Comentar que tengo otra politica de firewall a parte que permite a todos navegar sin restriciones.
Gracias por todo y un saludos
Re: Filtrar paginas web solo algunos usuarios de ActiveDirectory
Hola, como estas? Lo estas haciendo para todos los user del ldap ya que en la configuracion del ldap en ningun momento le dijiste a que grupo !!!!!
Para hacer eso, tendrias que configurarlo por consola y seria algo asi:
config user ldap
edit "ldapssl"
set server "172.16.3.11"
set cnid "sAMAccountName"
set dn "DC=prueba,DC=com,DC=ar"
set port 389
set type regular
set username "CN=Globaladmin,OU=VPN - SSL,OU=Grupos Seguridad,DC=prueba,DC=com,DC=ar"
set password ENC 6AMAAC6nP71QYFf5cKn0zLETp204jstPX2k1lL86xtZar0kdD8s2+NWbPTnYoclPagjpxFzC3v/5tabwBW8b8HKgL6AM8Ngpkh06+FIGGWYtT6jk
set group "CN=VPN Front,OU=VPN - SSL,OU=Grupos Seguridad,DC=prueba,DC=com,DC=ar"
set filter "(&(objectcategory=group) (objectclass=group)(member=*))"
set secure disable
next
end
Prueba con user ldap que esta dentro del grupo:
Kol # dia test authserver ldap ldapssl global galla.10
authenticate 'global' against 'ldapssl' succeeded!
Prueba con user ldap fuera del grupo:
Kol # dia test authserver ldap ldapssl crfornas lapiz.00
authenticate 'crfornas' against 'ldapssl' failed!
saludos
Gabriel
Para hacer eso, tendrias que configurarlo por consola y seria algo asi:
config user ldap
edit "ldapssl"
set server "172.16.3.11"
set cnid "sAMAccountName"
set dn "DC=prueba,DC=com,DC=ar"
set port 389
set type regular
set username "CN=Globaladmin,OU=VPN - SSL,OU=Grupos Seguridad,DC=prueba,DC=com,DC=ar"
set password ENC 6AMAAC6nP71QYFf5cKn0zLETp204jstPX2k1lL86xtZar0kdD8s2+NWbPTnYoclPagjpxFzC3v/5tabwBW8b8HKgL6AM8Ngpkh06+FIGGWYtT6jk
set group "CN=VPN Front,OU=VPN - SSL,OU=Grupos Seguridad,DC=prueba,DC=com,DC=ar"
set filter "(&(objectcategory=group) (objectclass=group)(member=*))"
set secure disable
next
end
Prueba con user ldap que esta dentro del grupo:
Kol # dia test authserver ldap ldapssl global galla.10
authenticate 'global' against 'ldapssl' succeeded!
Prueba con user ldap fuera del grupo:
Kol # dia test authserver ldap ldapssl crfornas lapiz.00
authenticate 'crfornas' against 'ldapssl' failed!
saludos
Gabriel
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
NSE 5 - Network Security Analyst
Re: Filtrar paginas web solo algunos usuarios de ActiveDirectory
tambien podrias instalar el fsae en el server ad y configurar una autenticacion por ad mediante el fsae. Es mejor que el ldap ya que es transparente. y el usuario no tiene que poner user y pass para navegar.
solo con las credenciales que se loguea al inicio de sesion de windows LISTO.
SALUDOS
solo con las credenciales que se loguea al inicio de sesion de windows LISTO.
SALUDOS
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
NSE 5 - Network Security Analyst
Re: Filtrar paginas web solo algunos usuarios de ActiveDirec
Saludos, yo tengo una duda.
Tengo un equipo Fortigate 110C. Intento configurar según muestran arriba pero en la parte de "set group" me marca lo siguiente:
command parse error before 'group'
Command fail. Return code -61
¿Que pasa con mi equipo?
Gracias.
Tengo un equipo Fortigate 110C. Intento configurar según muestran arriba pero en la parte de "set group" me marca lo siguiente:
command parse error before 'group'
Command fail. Return code -61
¿Que pasa con mi equipo?
Gracias.
Re: Filtrar paginas web solo algunos usuarios de ActiveDirec
hola, si estas usando y configurando el ldap con versiones 4.0 el grupo se setea en el crupo creado .
saludos
saludos
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
NSE 5 - Network Security Analyst
Re: Filtrar paginas web solo algunos usuarios de ActiveDirec
Gabyrossi, una disculpa pero soy totalmente NUEVO en esto y requiero ayuda. Ahi va:
Esta es la conf de mi LDAP por CLI:
config user ldap
edit "serverLDAP"
set server "---.---.---.---"
set cnid "sAMAccountName"
set dn "DC=corporativo,DC=miempresa,DC=com"
set type regular
set username "CN=usuario,OU=x,OU=y,OU=z,DC=corporativo,DC=miempresa,DC=com"
set password ENC AAA4VGIKLhUFLdUgl74vYteOpneALROrH3sdsdguTeFYMzFwsdgsdgUBasy/JOkeoH4ufDMrASm6vr79Usdgdsgds1Dpyc95ORB2eR
set member-attr "CN=gpo_users"
next
end
Esta es la conf. de mi grupo:
config user group
edit "gpo_LDAP"
set member "serverLDAP"
config match
edit 1
set server-name "serverLDAP"
set group-name "CN=gpo_users,DC=corporativo,DC=miempresa,DC=com"
next
end
next
end
Cuando hago un test de autenticación, me manda auth succeded! para todos los usuarios, pero necesito que solo se autentiquen los del grupo "gpo_users". ¿Que és lo que me falta?
Saludos
Esta es la conf de mi LDAP por CLI:
config user ldap
edit "serverLDAP"
set server "---.---.---.---"
set cnid "sAMAccountName"
set dn "DC=corporativo,DC=miempresa,DC=com"
set type regular
set username "CN=usuario,OU=x,OU=y,OU=z,DC=corporativo,DC=miempresa,DC=com"
set password ENC AAA4VGIKLhUFLdUgl74vYteOpneALROrH3sdsdguTeFYMzFwsdgsdgUBasy/JOkeoH4ufDMrASm6vr79Usdgdsgds1Dpyc95ORB2eR
set member-attr "CN=gpo_users"
next
end
Esta es la conf. de mi grupo:
config user group
edit "gpo_LDAP"
set member "serverLDAP"
config match
edit 1
set server-name "serverLDAP"
set group-name "CN=gpo_users,DC=corporativo,DC=miempresa,DC=com"
next
end
next
end
Cuando hago un test de autenticación, me manda auth succeded! para todos los usuarios, pero necesito que solo se autentiquen los del grupo "gpo_users". ¿Que és lo que me falta?
Saludos
Re: Filtrar paginas web solo algunos usuarios de ActiveDirec
hola, usandoeste grupo:
SI lo usas en una politica de navegacion o en una vpn, solo podran autenticarse satifactoriamente los usuarios que este en "CN=gpo_users,DC=corporativo,DC=miempresa,DC=com"
saludos
config user group
edit "gpo_LDAP"
set member "serverLDAP"
config match
edit 1
set server-name "serverLDAP"
set group-name "CN=gpo_users,DC=corporativo,DC=miempresa,DC=com"
next
end
next
end
SI lo usas en una politica de navegacion o en una vpn, solo podran autenticarse satifactoriamente los usuarios que este en "CN=gpo_users,DC=corporativo,DC=miempresa,DC=com"
saludos
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
NSE 5 - Network Security Analyst