Duda Sobre Fortigate Whith AD

[jroa]

Leyendo los post de este foro y viendo las opciones de mi Fortinet vi que trae la opcion de Usar mis usuarios de mi Actived Directory entonces me surgen varias preguntas.


Que requisitos PRevios tengo que tomar en cuenta para poder usar mi Fortigate y usar los usuarios de mi AD que ventajas tendrE?
QUe desventajas..


COmo funciona ? EL fortinet Extrae los USer del AD y en base a eso genero mis politicas con sus respectivos PROFILES?
Eso me pone a pensar que ya no usare las restriccion por IP si no por USEr del AD? Es correcto.


Espero me puedan Asesorar sobre ese ASunto

Saludos Cordiales

[gabyrossi]

Hola, si es correcto. autenticas las politicas mediante grupos de ad

Se instala un ejecutable en el server Ad(controlador de dominio) y se configura el fortigate para que vea los grupos del ad. El programa se encarga de la charla entre el fortigate y el ad.

Luego en el fortigate armas grupos sobre el los grupos de ad que necesites. Cada grupo tendra su profile, donde le aplicaras los filtros.

Esto es transparente para el usuario ya que toma las credenciales del usuario logueando en la pc.

Guias:
[Debes identificarte para poder ver enlaces.]
[Debes identificarte para poder ver enlaces.]

te dejo un link con documentacion:
[Debes identificarte para poder ver enlaces.]

Desventajas? mmm si esta todo andando bien dns,server de ad, grupos armados y politica de autenticacion bien armada no deberias tener ninguna.

saludos
Gabriel

[jroa]

GRacias Gracias


Googleando encontre este TUTORIAL


[Debes identificarte para poder ver enlaces.]

[jroa]

Tengo otra Duda , veo que solo JALA Los GRUPOS DEL AD , pero no jala los usuarios bueno o tengo qu cambiar la BASEDN? en la configuracion del FSAE Colector.

[gabyrossi]

Hola, claro, dentro de los grupos que hay? USUARIOS. si queres separar, deberas crear en tu ad, otros grupos y serparar los users. Luego creas en el fortigate grupos basados en los grupos de ad.

saludos
Gabriel

[jroa]

Pense que eran como en otras APP que conectas al AD y jala solo los USERS del AD junto con el GRUPO pero bueno entnces tendre que crear los grupos de usuarios en el AD ...

[gabyrossi]

Hola, claro, si no tenes grupos identeficados, tendras que armar para luego tomarlos desde el fortigate y poder asignarles un profile.

saludos
Gabriel

[jroa]

Tengo otra duda, sucede que ya conecte el AD y genere un grupo y solo meti a 2 users para mis pruebas pero resulta, que genere la politica y funciona bien PERO me deja todas las otras compus sin internet.
Ahora como funcionan las reglas del fortinet?
las lee de arriba hacia abajo? de abajo hacia arriba , por que no me toma las otras reglas que ya tenia .. si meto la regla con le grupo del AD


no se si me explique .


SAludos

[gabyrossi]

Hola, claro esa politica es para todo, tendrias que poner otro grupo con los demas user y con su profile
o dale el profile guest para tooodos los demas.

saludos
gabriel

[jroa]

ahi me surge otra duda ya que tengo MI reglas asi

y pues en teoria tiene que funcionar mis reglas que tengo no? en teoria se tiene que poder las 2 relgas que pongo las REGLAS por IP y las otras reglas del AD No?

[gabyrossi]

No, solamente podras poner algunas poltiicas de navegacion arriba, cuando tenga algun rango de ip como soruce o alguna ip como destino.

saludos
gabriel

[jroa]

Bueno surge mi primera duda

Tengo una Computadora con 3 users de mi AD cada User se LOGEA a ala pc. Como es una PC de mi red interna

Genere mi politica que de la ip 192.168.8.78 solo saliera al internet X user de MI AD . Pero como le hago para que en esa misma PC 3 diferentes USER tengan diferentes privilegios de navegacion.
Ya le intente agregando 2 grupos 1 grupo con un user con privilegios y otro grupo con 2 users sin privilegios en la misma Regla pero sucede que cuando tengo las 2 reglas en la misma IP no navegan ni tienen salida a internet :S
ninguno de los users :s
que creen que pueda estar pasando? en un grupo le defino el Profile Strict y el otro unfiltered

[gabyrossi]

Hola, no entiendo.... 2 reglas en la misma ip?

Que es lo que no funciona?
siempre se hace una politica, y adentro los grupos del ad, cada uno con profiles diferentes.

saludos
Gabriel