Estoy intentando gestionar con mi Forti 310B el acceso a internet filtrando por usuario de AD y por los grupos creado en el AD. La verdad es que lo he conseguido hacer funcionar, pero tengo la siguiente/problema.
La regla que controla dicho acceso creo que es excluyente con el resto, lo digo por experiencia propia no por que lo haya leído por algún sitio. La historia es la siguiente:
- Creo la politica para mi usuario (para probar), y me doy acceso a los protocolos HTTP y HTTPS a través del autenticado NTLM. Bien esto funciona perecto, el problema es que si esta política esta de las primeras, el resto de los protocolos, como FTP o SMTP, me los bloquea, es decir, la regla solo te permite acceder a los protocolos a los que te autentificas y el resto los BLOQUEA!
Para mi es un inconveniente por que si solo quiero tener un control de usuario FSSO solo para Internet, es decir HTTP/S, me oblica a añadir una regla NTLM para cada cosa que quiera permitir y que pase todo por ahí, o añadir reglas antes de la FSSO, que de acceso a los otros protocolos sin usar FSSO, y poner de la últimas la regla del FSSO.
Espero que alguien me pueda confirmar que este es el funcionamiento correcto, y que no hay forma de decirle a la regla FSSO que no sea excluyentes, es decir, que SOLO se dedique a autenticar a los usuarios para los protocolos dados, y para el resto que se los deje al resto de reglas del FW que para esto están.
Gracias a todos!!
