Hola a todos...
Les comento mi caso, tengo un FGT-200B en modo transparente, la versión de firmware es 4.0 MR3 Patch 6, 4 servidores Windows Server 2008 R2 con AD + FSSO (última versión disponible) instalado, cada uno de los FSSO cuentan con la misma configuración y en el FGT se muestra el listado de grupos a ser utilizados en nuestra política de firewall y autentifiación respectiva, solo qué NADIE puede accesar a Internet cuando la política de firewall + FSSO auth está activada, sniffiando el puerto 8000 el resultado es el siguiente:
diagnose sniff packet any 'host 192.168.10.206 and port 8000' 4
37.276271 eth0 out 192.168.10.227.7927 -> 192.168.10.206.8000: ack 2724685479
43.024191 switch in 192.168.10.206.8000 -> 192.168.10.227.7927: psh 2724685479 ack 2493012790
43.024191 root.b in 192.168.10.206.8000 -> 192.168.10.227.7927: psh 2724685479 ack 2493012790
43.024234 root.b out 192.168.10.227.7927 -> 192.168.10.206.8000: ack 2724685793
43.024239 switch out 192.168.10.227.7927 -> 192.168.10.206.8000: ack 2724685793
Luego
FG200BLagermex # diag deb authd fsso list
----FSSO logons----
IP: 192.168.10.2 User: USER1 Groups: AD/DIRECCION
IP: 192.168.10.8 User: USER2 Groups: AD/DIRECCION+AD/GERENTES
IP: 192.168.10.9 User: USER3 Groups: AD/DIRECCION+AD/GERENTES
IP: 192.168.10.10 User: USER4 Groups: AD/GERENTESPRIVILEGIOS
IP: 192.168.10.11 User: USER5 Groups: AD/INTERNETESPECIAL
IP: 192.168.10.20 User: USERn Groups: AD/GERENTESPRIVILEGIOS
Total number of logons listed: 79, filtered: 0
----end of FSSO logons----
Quiere decir que FGT sabe de mis usuarios logeados
Después ejecute el comando
FG200BLagermex # diag debug authd fsso server-status
FG200BLagermex # Server Name Connection Status
----------- -----------------
ServidorAD connected
Revisé el estado de logeo en cada uno de los servidores involucrados y la lista de usuarios logeados aparecen como en el FGT. Sin embargo no tienen acceso a internet, probé solo usar un grupo de usuarios y tampoco se tuvo éxito, muy extraño comportamiento ya que "veo" que se cumplen con lo necesario para hacer uso de FSSO.
Gracias
FSSO autentificacion
Re: FSSO autentificacion
hola, la politica la estas nateando, no?
arriba de esa politica arma una para que tus dns privados tenes dns sin autenticar.
saludos
arriba de esa politica arma una para que tus dns privados tenes dns sin autenticar.
saludos
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
NSE 5 - Network Security Analyst
-
a.valentin
- Mensajes: 20
- Registrado: 03 Jun 2010, 00:39
Re: FSSO autentificacion
Hola ,
Gracias por la respuesta, tengo en el FGT mis DNS privados configurados, la política esta con NAT, haré la política sugerida y ver los resultados, les estaré comentando de ello.
Saludos
Gracias por la respuesta, tengo en el FGT mis DNS privados configurados, la política esta con NAT, haré la política sugerida y ver los resultados, les estaré comentando de ello.
Saludos