Hola,
Acabo de aterrizar en el foro, casi como en la administración de estos equipos.
Me acaban de endosar un trabajo que no tengo claro.
Expongo el problema por si alguien me puede ayudar o darme una url donde ver el documento donde lo explica ya que no soy capaz de encontrarlo.
Tengo un cliente que quiere integrar Ldap y politicas de restricción de navegación para usuarios.
Tiene creado 3 unidades organizativas.
Por otro lado 3 politicas de filtrado distintas.
Hasta aqui bien. Lo que no tengo claro es como aplicar la politica que yo defino en proteción profile al grupo de user correspondiente. Yo solo marco en users: Server 192.168.10.10 389 cn OU=clase1,OU=clase2,OU=clase3,DC=prueba,DC=local.
Como aplico yo una politica de restricciones a un user que se loguea en el grupo clase 1 por ejemplo??
muchas gracias por cualquier ayuda.
saludos.
Ldap y Firewall Police
Re: Ldap y Firewall Police
Hola, como estas? las autenticaciones siempre son por grupo. puede haber x grupos pero con al menos un usuario. no podras autenticar por cada usuarioa salvo que tengas x grupos por usuarios con filtros distintos tengas.
que firmware tenes?
usas ldap¿¿¿?? o configuraste fsae para usar el ad?
mas info en:
[Debes identificarte para poder ver enlaces.]
[Debes identificarte para poder ver enlaces.]
saludos
que firmware tenes?
usas ldap¿¿¿?? o configuraste fsae para usar el ad?
mas info en:
[Debes identificarte para poder ver enlaces.]
[Debes identificarte para poder ver enlaces.]
saludos
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
NSE 5 - Network Security Analyst
Re: Ldap y Firewall Police
Hola,
Gracias por la pronto respuesta. El OS que tenemos es v4.0,build0192,091222 (MR1 Patch 2) el cliente usa LDAP.
El tema es que yo solo administro el forti y el cliente el Ldap. La semana pasada me toco otro cliente parecido pero este si, con Fsae. yo si veia los grupos que el cliente tenia de users y sobre ellos aplicaba la policy en función de horarios.
Pero en este caso no veo nada del Ldap por ningún sitio. Entonces no se a que aplicar la policy.
Gracias nuevamente.
saludos.
Gracias por la pronto respuesta. El OS que tenemos es v4.0,build0192,091222 (MR1 Patch 2) el cliente usa LDAP.
El tema es que yo solo administro el forti y el cliente el Ldap. La semana pasada me toco otro cliente parecido pero este si, con Fsae. yo si veia los grupos que el cliente tenia de users y sobre ellos aplicaba la policy en función de horarios.
Pero en este caso no veo nada del Ldap por ningún sitio. Entonces no se a que aplicar la policy.
Gracias nuevamente.
saludos.
Re: Ldap y Firewall Police
Hola, ok entonces deberas saber que grupos autenticar.
te recomiendo usar el ldap terra donde podras recorrer el arbol de ldap para teenr la info snecesaria.
[Debes identificarte para poder ver enlaces.]
una vez que tengas configurado cada server ldap con su grupo ldap, usa este comando para chequear la autenticacion de cada uno
ejemplo:
config user ldap
edit "srv_ldap"
set server "10.20.1.1"
set cnid "sAMAccountName"
set dn "DC=ejemplo,DC=com"
set port 389
set type regular
set username "CN=FGLDAP,CN=Users,DC=ejemplo,DC=com"
set password ENC 6AMAABpbswlf6tTDtRulL9R9Nlqe8YHy2KORLbax+YEcCbVhfmwuG9dUKyKCv2A2f8ELmjOutW5PGaQe1HQg2nRwpTiC1h3zUI9nK/8jyJYU/W6j
set group "CN=UsuariosVPN,CN=Users,DC=ejemplo,DC=com"
set filter "(&(objectcategory=group) (objectclass=group)(member=*))"
set secure disable
next
#diagnose test authserver ldap srv_ldap nombreusuario contraseña
authenticate 'nombreusuari' against 'srv_ldap' succeeded!
entonces tendras tantos server ldap (con cada grupo a autenticar) por cada perfil de filtrado quieras hacer.
saludos
te recomiendo usar el ldap terra donde podras recorrer el arbol de ldap para teenr la info snecesaria.
[Debes identificarte para poder ver enlaces.]
una vez que tengas configurado cada server ldap con su grupo ldap, usa este comando para chequear la autenticacion de cada uno
ejemplo:
config user ldap
edit "srv_ldap"
set server "10.20.1.1"
set cnid "sAMAccountName"
set dn "DC=ejemplo,DC=com"
set port 389
set type regular
set username "CN=FGLDAP,CN=Users,DC=ejemplo,DC=com"
set password ENC 6AMAABpbswlf6tTDtRulL9R9Nlqe8YHy2KORLbax+YEcCbVhfmwuG9dUKyKCv2A2f8ELmjOutW5PGaQe1HQg2nRwpTiC1h3zUI9nK/8jyJYU/W6j
set group "CN=UsuariosVPN,CN=Users,DC=ejemplo,DC=com"
set filter "(&(objectcategory=group) (objectclass=group)(member=*))"
set secure disable
next
#diagnose test authserver ldap srv_ldap nombreusuario contraseña
authenticate 'nombreusuari' against 'srv_ldap' succeeded!
entonces tendras tantos server ldap (con cada grupo a autenticar) por cada perfil de filtrado quieras hacer.
saludos
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
NSE 5 - Network Security Analyst
Re: Ldap y Firewall Police
Ok, lo tengo más o menos claro. En cuanto lo pruebe con el cliente os cuenta.
Muchisimas gracias por la ayuda.
saludos.
Muchisimas gracias por la ayuda.
saludos.
Re: Ldap y Firewall Police
Hola, ok
suerte
suerte
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
NSE 5 - Network Security Analyst
Re: Ldap y Firewall Police
Hola,
pues parece que sigue sin funcionar....hay que tener en cuenta que el cliente es quien mantiene el Ldap yo solo el forti. Los datos que tengo configurados son:
me ha dado un user de lectura userprueba con la misma pass
edit "SERVER"
set server "192.168.0.12"
set cnid "sAMAccountName">>>>>>>>>>>> con cn tampoco tira.
set dn "DC=prueba,DC=local"
set port 389
set type regular
set username "CN=userprueba,OU=Users,DC=kings,DC=local "
set password ENC 2MLPCPdM4xaMRFzBs1KxsQiU0BgPqHwfHwcGLqw6zGy/SHaVi1hIqej0Cp3e7CU+71q5tBAchqBkvM0a+xZiUy3bnFFmzOufOEI/eurI38XlnM4a
set group "OU=clase1,OU=clase2,OU=clase3,DC=prueba,DC=local"
set filter "(&(objectcategory=group)(member=*))"
set secure disable
diagnose test authserver ldap SERVER userprueba userprueba
authenticate 'userprueba' against 'SERVER' failed!
Alguna idea de porque puede estar fallando???
muchisimas gracias.
pues parece que sigue sin funcionar....hay que tener en cuenta que el cliente es quien mantiene el Ldap yo solo el forti. Los datos que tengo configurados son:
me ha dado un user de lectura userprueba con la misma pass
edit "SERVER"
set server "192.168.0.12"
set cnid "sAMAccountName">>>>>>>>>>>> con cn tampoco tira.
set dn "DC=prueba,DC=local"
set port 389
set type regular
set username "CN=userprueba,OU=Users,DC=kings,DC=local "
set password ENC 2MLPCPdM4xaMRFzBs1KxsQiU0BgPqHwfHwcGLqw6zGy/SHaVi1hIqej0Cp3e7CU+71q5tBAchqBkvM0a+xZiUy3bnFFmzOufOEI/eurI38XlnM4a
set group "OU=clase1,OU=clase2,OU=clase3,DC=prueba,DC=local"
set filter "(&(objectcategory=group)(member=*))"
set secure disable
diagnose test authserver ldap SERVER userprueba userprueba
authenticate 'userprueba' against 'SERVER' failed!
Alguna idea de porque puede estar fallando???
muchisimas gracias.
Re: Ldap y Firewall Police
Hola, como estas¿? lo que escribiste solo es de ejemplo?
porque hay inconsistencia....
revisa el
set dn "DC=prueba,DC=local" -> prueba ?
set username "CN=userprueba,OU=Users,DC=kings,DC=local " ->kings????
set group "OU=clase1,OU=clase2,OU=clase3,DC=prueba,DC=local" -> prueba?
revisa que ese usuario "userpueba" el dn sea userprueba, no siempre es lo mismo. y tambienr evisq ue no este bloqueada la contraseña ni que tnega que cambiarla al inicio de sesion.
slaudos
porque hay inconsistencia....
revisa el
set dn "DC=prueba,DC=local" -> prueba ?
set username "CN=userprueba,OU=Users,DC=kings,DC=local " ->kings????
set group "OU=clase1,OU=clase2,OU=clase3,DC=prueba,DC=local" -> prueba?
revisa que ese usuario "userpueba" el dn sea userprueba, no siempre es lo mismo. y tambienr evisq ue no este bloqueada la contraseña ni que tnega que cambiarla al inicio de sesion.
slaudos
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
NSE 5 - Network Security Analyst
Re: Ldap y Firewall Police
HOla,
si, lo que escribi solo es a modo de ejemplo, pero si he dejado algún dato del cliente. Solo queria mantener privacidad de sus datos. Voy a volver a revisarlo. Sino saco algo os pongo los datos reales para ir más en profundidad.
muchas gracias.
si, lo que escribi solo es a modo de ejemplo, pero si he dejado algún dato del cliente. Solo queria mantener privacidad de sus datos. Voy a volver a revisarlo. Sino saco algo os pongo los datos reales para ir más en profundidad.
muchas gracias.
Re: Ldap y Firewall Police
Hola,
Feliz año lo primero. Lo segundo, comentar que el cliente no ha sido capaz de configurar bien su ldap y al final hemos implementado Fsae y parece que todo correcto.
muchas gracias por la ayuda.
s2.
Feliz año lo primero. Lo segundo, comentar que el cliente no ha sido capaz de configurar bien su ldap y al final hemos implementado Fsae y parece que todo correcto.
muchas gracias por la ayuda.
s2.
Re: Ldap y Firewall Police
Estas colocando mal la cadena DC=dominio,DC=com
tienes que tener en cuenta como esta el nombre dle DC y que la cuenta con la que validas tenga privilegio sobre el arbol de domino.
tienes que tener en cuenta como esta el nombre dle DC y que la cuenta con la que validas tenga privilegio sobre el arbol de domino.
el conocimiento es gratis y grande, depende de ti si quieres tenerlo.