Proxy con FSSO

[xensenyat]

Hola,
Si te refieres al proxy explicito que se encuentra en SISTEMA - RED - PROXY EXPLICITO allí tengo marcada la opción que escucha en el interface WAN1 aunque no tengo marcados los checks en HTTP/HTTPS

Adjunto imagen

Hola, vos tambien usas proxy????

saludos.

[gabyrossi]

hola, perdon....
pero que tenes en la wan1 ? si no habilitaste http ni https no lo usas...
no entiendo ....

[xensenyat]

Hola,
Sin estar habilitado me filtraba webs, etc... ya que si en alguna denegaba el acceso se hacia efectivo, en todo caso ahora he habilitado los checks y sigo igual, el problema radica en que si en el grupo no tengo el grupo FSSO_GUEST_USERS en la politica no puede navegar nadie.
Adjunto un par de imagenes

Y mil gracias!!!

hola, perdon....
pero que tenes en la wan1 ? si no habilitaste http ni https no lo usas...
no entiendo ....

[LuisMLG]

No entiendo muy bien el escenario, la verdad, pero yo estoy usando el filtrado por usuario FSSO sin problemas.

1. Configuro para que el forti hable con el DC.
2. Creo grupo/s FSSO basados en grupos del AD.
3. Creo la política y le activo el check de Enable Identity Based Policy.
4. Añado regla/s de filtrado.
5. Activo los check Fortinet Single Sign-On(FSSO) y NTML (depende de como lo quieras hacer puedes no activarlo).
6. Lo Guardo todo

Y a funcionar.

[xensenyat]

No entiendo muy bien el escenario, la verdad, pero yo estoy usando el filtrado por usuario FSSO sin problemas.

1. Configuro para que el forti hable con el DC.
OK
2. Creo grupo/s FSSO basados en grupos del AD.
OK
3. Creo la política y le activo el check de Enable Identity Based Policy.
OK
4. Añado regla/s de filtrado.
OK
5. Activo los check Fortinet Single Sign-On(FSSO) y NTML (depende de como lo quieras hacer puedes no activarlo).
SIN NTML ya que si lo dejo checkeado al navegar me aparece una ventana de autentificación de windows contra la ip del forti
6. Lo Guardo todo

Y a funcionar.

[LuisMLG]

Has probado a poner la VIP primero y la Guess después.

saludos.

[xensenyat]

Si, si miro en usuario - monitor - firewall siempre aparecen como logueados con el guess

Has probado a poner la VIP primero y la Guess después.

saludos.

[LuisMLG]

Yo es que el Grupo guess no lo uso por lo mismo... no obstante si pertenece al gripo VIP deberia enrtar por ahi, tendría que probarlo... aunque parece que el problema es en la autenticación, por algun motivo el forti te pone como guess sea quien sea...

Como se hace la autenticación si no usas el NTML?

[xensenyat]

No te entiendo? Yo creo que con el grupo creado en el forti (FSSO) que lleva a los usuarios del grupo del AD seleccionados, en este caso dos grupos , INTERNET e INTERNET-VIP
Con eso es suficiente, no?

Yo es que el Grupo guess no lo uso por lo mismo... no obstante si pertenece al gripo VIP deberia enrtar por ahi, tendría que probarlo... aunque parece que el problema es en la autenticación, por algun motivo el forti te pone como guess sea quien sea...

Como se hace la autenticación si no usas el NTML?

[LuisMLG]

Verás, yo llegue a la conclusión, que para realizar una autenticación de una usuario de AD para el tema de la navegación, es decir, montar un proxy con el Forti, hacia falta el NTML, que no es mas que le protocolo, que usa MS Windows par que el navegador enviar las credenciales del usuario logado en un equipo. De esta manera al forti le lleguan las credenciales, y las comprueba contra el AD, y dependiendo de los grupos te mete en uno u otro.

Creo que deberías de probar esto, por que funciona bien, prueba aunque te pida la pass solo por ver en que grupo te mete, si lo consigues hacer bien, ya te curras la autenticacion transparente par que no te la pida que no es complicado, solo hay que hacer alguna configuración en el navegador, de hecho en Chrome no tuve que hace nada, para IE y Firefox si hay que tocar una cosilla.

Saludos.

[xensenyat]

Lo primero agradecerte el tiempo dedicado a darme respuestas, por otro lado, al saltar esa pantalla introduzco un user del dominio y pass y no se valida, parece que es como si la autenticación no llegara a producirse.
De todas formas lo que me tiene liado es que tanto en el cliente instalado en el servidor (DC) como en las imagenes que te adjunto si parece que existe un enlace entre el forti y el DC.
Tienes idea de si hay alguna forma de comprobar esto?

Gracias de nuevo

Verás, yo llegue a la conclusión, que para realizar una autenticación de una usuario de AD para el tema de la navegación, es decir, montar un proxy con el Forti, hacia falta el NTML, que no es mas que le protocolo, que usa MS Windows par que el navegador enviar las credenciales del usuario logado en un equipo. De esta manera al forti le lleguan las credenciales, y las comprueba contra el AD, y dependiendo de los grupos te mete en uno u otro.

Creo que deberías de probar esto, por que funciona bien, prueba aunque te pida la pass solo por ver en que grupo te mete, si lo consigues hacer bien, ya te curras la autenticacion transparente par que no te la pida que no es complicado, solo hay que hacer alguna configuración en el navegador, de hecho en Chrome no tuve que hace nada, para IE y Firefox si hay que tocar una cosilla.

Saludos.

[LuisMLG]

Otra cosa es que yo por ejemplo, el enlace entre forti-AD lo configuro en lña opción USER->Single Sing-on -> FSSO Agent.Eso si, instale el agente en el DC Server.

Según recuerdo tu habías configurado la conexión en otra parte por LDAP, ¿no es así?

[xensenyat]

Hola,
Yo también lo tengo asi, de hecho tengo las dos cosas, aunque esto si no me equivoco obligatoriamente es asi, debes tener en el apartado de LDAP un servidor ya que al crear los grupos de usuarios para FSSO los pillará de alli, no?

Otra cosa es que yo por ejemplo, el enlace entre forti-AD lo configuro en lña opción USER->Single Sing-on -> FSSO Agent.Eso si, instale el agente en el DC Server.

Según recuerdo tu habías configurado la conexión en otra parte por LDAP, ¿no es así?

[gabyrossi]

Hola, problema es que configuraste un ldap...
instalaste el fsso en el server ad? si tenes mas de un ad... instalaste el agente en los demas?

configuraste el fsso en el fortigate?

saludos.

[xensenyat]

Hola,
El agente esta instalado únicamente en un controlador de dominio, aunque tengo cuatro controladores mas en el dominio.
El FSSO también esta configurado en el fortigate, creo que el dominio esta aqui, mira la imagen que adjunto.
En editar usuarios y grupos me he movido por el AD y seleccionado el grupo internet, pero al tener que indicar en el otro apartado que adjunto en la imagen el usuario no se como indicarlo?
Será ese el problema?

Hola, problema es que configuraste un ldap...
instalaste el fsso en el server ad? si tenes mas de un ad... instalaste el agente en los demas?

configuraste el fsso en el fortigate?

saludos.