Hola, Lo que pasa es que estamos implemenando restricciones en la navegacion de mi empresa, y, tenemos creados tres perfiles el VIP, medio, restringidos, y otro que es el guest, que no requiere autenticacion ni nada.; fucionando a la perfeccion, en conjunto con el active directory...
Sin embargo, la semana pasada se comenzo a presentar un inconveniente y es que el area de ventas no tenia perfil, y aunque tenia acceso a la red local no salia a internet, se que no entraban por guest porque ellos estaban conectados al active directory y el guest es solo para los que no tienen usuario en el dominio, no se es porque no les dejaba salir a internet, se descarto todo tipo de problema con respecto a los equipos...
La solucion fue asignarles un perfil de los 3 perfiles creados (VIP, medio, restirngidos), pero no entiendo porque no los dejaba acceder?, porque esa fue la solucion?, hay algun fundamento teorico que diga que si esta en el AD y no tiene perfil en el Forti, el forti por defecto los bloquea? por favor ayuda!, mi jefe me exigio una respuesta...
1 USR EN 2 PERFILES DE NAVEGACION
Re: 1 USR EN 2 PERFILES DE NAVEGACION
Hola, la documentacion dice lo siguiente:
"Guests are users who are unknown to the Windows AD or Novell network and servers that do not logon to a Windows AD domain."
Sinceramente nunca necesite usar ese grupo, pero creo que es correcto lo que te sucedio, los usuarios que entrarian en Guest_Users son los que aparecen como "unknown" en el AD o los que no se logean contra el mismo.
El problema que veo aqui es en el AD, si estas implementando 3 politicas de navegacion en la empresa, lo correcto seria que todos los usuarios que naveguen entren en alguna de esas 3 politicas.
Si no quieren corregir eso, otra solucion es que agregues una politica general de navegacion para todos los usuarios (Por ejemplo al grupo "Usuarios"), asi si no es ni VIP, ni medio, ni restringido, cae en Usuarios (Si queres que todos naveguen).
Despues usas o no el grupo Guest, como quieras.
Saludos.
"Guests are users who are unknown to the Windows AD or Novell network and servers that do not logon to a Windows AD domain."
Sinceramente nunca necesite usar ese grupo, pero creo que es correcto lo que te sucedio, los usuarios que entrarian en Guest_Users son los que aparecen como "unknown" en el AD o los que no se logean contra el mismo.
El problema que veo aqui es en el AD, si estas implementando 3 politicas de navegacion en la empresa, lo correcto seria que todos los usuarios que naveguen entren en alguna de esas 3 politicas.
Si no quieren corregir eso, otra solucion es que agregues una politica general de navegacion para todos los usuarios (Por ejemplo al grupo "Usuarios"), asi si no es ni VIP, ni medio, ni restringido, cae en Usuarios (Si queres que todos naveguen).
Despues usas o no el grupo Guest, como quieras.
Saludos.
Re: 1 USR EN 2 PERFILES DE NAVEGACION
Oh!, es muy lógico lo que me dice, pero:
Si el grupo Guest solo es para los usuarios que desconoce el AD,
entonces significa que ¡el Forti restringe a los usuarios que estando en el AD no tienen un perfil en el forti?????
Y si el usuario del AD esta en dos perfiles del forti, que pasa?
Hay alguna documentacion que me explique estas otras dos preguntas?
Gracias por sus respuestas....
Si el grupo Guest solo es para los usuarios que desconoce el AD,
entonces significa que ¡el Forti restringe a los usuarios que estando en el AD no tienen un perfil en el forti?????
Y si el usuario del AD esta en dos perfiles del forti, que pasa?
Hay alguna documentacion que me explique estas otras dos preguntas?
Gracias por sus respuestas....
Re: 1 USR EN 2 PERFILES DE NAVEGACION
Hola,
si un usuario autenticado no esta en ninguno de los grupos de ad que estan en la politica, saldra usando el perfil que tiene el grupo guest.
si un usuario esta en mas de un grupo, primero tomara los filtros que tiene el primero grupo ubica en la la politica.
si usas ldap, radius o tacas+ revisara en los gruos que estes tratando de aceptar el trafico deseado.
Mas info en:
si tenes 4.0 mr3
[Debes identificarte para poder ver enlaces.]
si tenes 4.0 mr2:
[Debes identificarte para poder ver enlaces.]
saludos
si un usuario autenticado no esta en ninguno de los grupos de ad que estan en la politica, saldra usando el perfil que tiene el grupo guest.
si un usuario esta en mas de un grupo, primero tomara los filtros que tiene el primero grupo ubica en la la politica.
si usas ldap, radius o tacas+ revisara en los gruos que estes tratando de aceptar el trafico deseado.
Mas info en:
si tenes 4.0 mr3
[Debes identificarte para poder ver enlaces.]
si tenes 4.0 mr2:
[Debes identificarte para poder ver enlaces.]
saludos
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
NSE 5 - Network Security Analyst
Re: 1 USR EN 2 PERFILES DE NAVEGACION
Buenas tardes,
Me dices: "Hola, si un usuario autenticado no esta en ninguno de los grupos de ad que estan en la politica, saldra usando el perfil que tiene el grupo guest."
pero en mi caso no paso eso, tenia 10 usuarios autenticados y no estaban en ninguno de los grupos de AD que estan en la politica, y aunque deberian, NO SALIAN por el grupo guest, antes bien, los bloqueba de tal manera que no tenian ningun tipo de acceso a internet...
Lo de los usuarios en multiples grupos, ya lo entendi. pero lo otro no!, de todos modos gracias, voy a revisar la informacion que me compartiste a ver si encuentro algo.
Gracias por sus respuestas...
Saludos.
Me dices: "Hola, si un usuario autenticado no esta en ninguno de los grupos de ad que estan en la politica, saldra usando el perfil que tiene el grupo guest."
pero en mi caso no paso eso, tenia 10 usuarios autenticados y no estaban en ninguno de los grupos de AD que estan en la politica, y aunque deberian, NO SALIAN por el grupo guest, antes bien, los bloqueba de tal manera que no tenian ningun tipo de acceso a internet...
Lo de los usuarios en multiples grupos, ya lo entendi. pero lo otro no!, de todos modos gracias, voy a revisar la informacion que me compartiste a ver si encuentro algo.
Gracias por sus respuestas...
Saludos.
Re: 1 USR EN 2 PERFILES DE NAVEGACION
Aquí esta la explicación:
[Debes identificarte para poder ver enlaces.]
Lo podes solucionar configurando los filtros de grupos del FSSO
[Debes identificarte para poder ver enlaces.]
Lo podes solucionar configurando los filtros de grupos del FSSO
Re: 1 USR EN 2 PERFILES DE NAVEGACION
OK, Muchisimas gracias, ya quedo mas tranquilo...
Una ultima pregunta que me acaba de surgir, hay alguna manera de saber cuando un usuario que esta en el AD, no tiene grupo de navegación?????????
Me imagino que comparando los miembros del AD, con los miembros de los grupos, verificando que todos los del AD estén en al menos un grupo.
Pero si existe alguna manera mejor, confiable, rapida, documentada y/o sencilla, agradecería de su colaboración.
Una ultima pregunta que me acaba de surgir, hay alguna manera de saber cuando un usuario que esta en el AD, no tiene grupo de navegación?????????
Me imagino que comparando los miembros del AD, con los miembros de los grupos, verificando que todos los del AD estén en al menos un grupo.
Pero si existe alguna manera mejor, confiable, rapida, documentada y/o sencilla, agradecería de su colaboración.
Re: 1 USR EN 2 PERFILES DE NAVEGACION
hola, tenes un monitor en user -> monitor -> firewall
y tambien podes ver los usuarios que el fortigate ve autenticados.
diagnose debug auth fsso list
o tambien lo ves en el fsso directmante.
saludos
y tambien podes ver los usuarios que el fortigate ve autenticados.
diagnose debug auth fsso list
o tambien lo ves en el fsso directmante.
saludos
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
NSE 5 - Network Security Analyst