Comunidad FORTIGATE.es

Hola, estoy intentando acceder a un FortiAnalyzer (bookmark) por VPN SLL que configuré en modo application en un FG 4.00 MR2, exclusivamente para esto.

Resulta que permanentemente me desloguear y presenta la ventana de autenticación, por ejemplo si intento browsear en el menu Tools del FA, me saca inmediatamente de la autenticación y me tengo que reloguear al FG SSL, pero se repite instantáneamente el problema y no me deja loguear mas.

No se si tiene que ver con lo de subsessions que postearon por ahi, o si tiene que ver con el setting de auth timeout debería estar en valor predeterminado porque nunca lo toqué. Respecto del idle timeout lo volví a poner en el default de 300 segundos.

Prefiero no usar modo tunel ni instalar software en la PC cliente.

Alguna idea?
Gracias!

hola, que parche de mr2 estas usando?

armaste accesos para que puedan usar el modo web-portal?

saludos

MR2 patch3.
Está todo armado y funcionando. Entro y en cuestión de segundos empieza a ponerme la ventana de autenticación, es típico timeout de autenticación, pero no se por qué.

El bookmark para el FA lo tenía con SSO automático, lo deshabilité y ya no ocurre el problema. Se ve que no puede integrar bien la autenticación web al FA desde el FG, y eso que son la misma marca y versión similar de software!!

De todos modos me gustaría saber que recomiendan para timeout de auth y de idle...

Hola, no entendi que tenias aplicado?

"FA lo tenía con SSO"

estas usando autenticaion por ldap? o que?

saludos

En la config de VPN SSL del FG, el bookmark de acceso a servidores WEB/RDP/VNC podes elegir la opcion SSO automática, forzada o deshabilitada. Yo la tenia en auto y la pasé a disable. Listo el pollo. Pero me gustaria saber el auth timeout que valor ponerle, si es que hace falta, porque estoy notando que el IDLE timeout es engañoso, porque a veces me desconecta a pesar que esté trabajando activamente en sesiones RDP/VNC.

hola, cuando puedas actualiza al ptach7 de mr2.

el sso sirve para usar las mismas credenciales con que te logueaste al ssl, aplicarlas al bookrmark deseado. Serviria si las credencial con que te loegueaste por ejemplo estaban autenticadas por ldap, entonces ese usuario es valido para logeuarte por rdp a un server o a una pc en dominio.

mira esto:
Idle Timeout:
Escriba el período de tiempo (en segundos) para controlar el tiempo de la conexión puede permanecer inactiva antes de que el sistema obliga al usuario a conectarse de nuevo. El rango es de 10 a 28.800 segundos. También puede establecer el valor a 0 para no tener tiempo de espera de conexión inactiva. Este ajuste se aplica a la sesión de SSL VPN. La interfaz no tiene tiempo de espera cuando las sesiones de aplicaciones web o túneles para arriba.

saludos