FSSO autentificacion
Publicado: 14 May 2012, 17:49
Hola a todos...
Les comento mi caso, tengo un FGT-200B en modo transparente, la versión de firmware es 4.0 MR3 Patch 6, 4 servidores Windows Server 2008 R2 con AD + FSSO (última versión disponible) instalado, cada uno de los FSSO cuentan con la misma configuración y en el FGT se muestra el listado de grupos a ser utilizados en nuestra política de firewall y autentifiación respectiva, solo qué NADIE puede accesar a Internet cuando la política de firewall + FSSO auth está activada, sniffiando el puerto 8000 el resultado es el siguiente:
diagnose sniff packet any 'host 192.168.10.206 and port 8000' 4
37.276271 eth0 out 192.168.10.227.7927 -> 192.168.10.206.8000: ack 2724685479
43.024191 switch in 192.168.10.206.8000 -> 192.168.10.227.7927: psh 2724685479 ack 2493012790
43.024191 root.b in 192.168.10.206.8000 -> 192.168.10.227.7927: psh 2724685479 ack 2493012790
43.024234 root.b out 192.168.10.227.7927 -> 192.168.10.206.8000: ack 2724685793
43.024239 switch out 192.168.10.227.7927 -> 192.168.10.206.8000: ack 2724685793
Luego
FG200BLagermex # diag deb authd fsso list
----FSSO logons----
IP: 192.168.10.2 User: USER1 Groups: AD/DIRECCION
IP: 192.168.10.8 User: USER2 Groups: AD/DIRECCION+AD/GERENTES
IP: 192.168.10.9 User: USER3 Groups: AD/DIRECCION+AD/GERENTES
IP: 192.168.10.10 User: USER4 Groups: AD/GERENTESPRIVILEGIOS
IP: 192.168.10.11 User: USER5 Groups: AD/INTERNETESPECIAL
IP: 192.168.10.20 User: USERn Groups: AD/GERENTESPRIVILEGIOS
Total number of logons listed: 79, filtered: 0
----end of FSSO logons----
Quiere decir que FGT sabe de mis usuarios logeados
Después ejecute el comando
FG200BLagermex # diag debug authd fsso server-status
FG200BLagermex # Server Name Connection Status
----------- -----------------
ServidorAD connected
Revisé el estado de logeo en cada uno de los servidores involucrados y la lista de usuarios logeados aparecen como en el FGT. Sin embargo no tienen acceso a internet, probé solo usar un grupo de usuarios y tampoco se tuvo éxito, muy extraño comportamiento ya que "veo" que se cumplen con lo necesario para hacer uso de FSSO.
Gracias
Les comento mi caso, tengo un FGT-200B en modo transparente, la versión de firmware es 4.0 MR3 Patch 6, 4 servidores Windows Server 2008 R2 con AD + FSSO (última versión disponible) instalado, cada uno de los FSSO cuentan con la misma configuración y en el FGT se muestra el listado de grupos a ser utilizados en nuestra política de firewall y autentifiación respectiva, solo qué NADIE puede accesar a Internet cuando la política de firewall + FSSO auth está activada, sniffiando el puerto 8000 el resultado es el siguiente:
diagnose sniff packet any 'host 192.168.10.206 and port 8000' 4
37.276271 eth0 out 192.168.10.227.7927 -> 192.168.10.206.8000: ack 2724685479
43.024191 switch in 192.168.10.206.8000 -> 192.168.10.227.7927: psh 2724685479 ack 2493012790
43.024191 root.b in 192.168.10.206.8000 -> 192.168.10.227.7927: psh 2724685479 ack 2493012790
43.024234 root.b out 192.168.10.227.7927 -> 192.168.10.206.8000: ack 2724685793
43.024239 switch out 192.168.10.227.7927 -> 192.168.10.206.8000: ack 2724685793
Luego
FG200BLagermex # diag deb authd fsso list
----FSSO logons----
IP: 192.168.10.2 User: USER1 Groups: AD/DIRECCION
IP: 192.168.10.8 User: USER2 Groups: AD/DIRECCION+AD/GERENTES
IP: 192.168.10.9 User: USER3 Groups: AD/DIRECCION+AD/GERENTES
IP: 192.168.10.10 User: USER4 Groups: AD/GERENTESPRIVILEGIOS
IP: 192.168.10.11 User: USER5 Groups: AD/INTERNETESPECIAL
IP: 192.168.10.20 User: USERn Groups: AD/GERENTESPRIVILEGIOS
Total number of logons listed: 79, filtered: 0
----end of FSSO logons----
Quiere decir que FGT sabe de mis usuarios logeados
Después ejecute el comando
FG200BLagermex # diag debug authd fsso server-status
FG200BLagermex # Server Name Connection Status
----------- -----------------
ServidorAD connected
Revisé el estado de logeo en cada uno de los servidores involucrados y la lista de usuarios logeados aparecen como en el FGT. Sin embargo no tienen acceso a internet, probé solo usar un grupo de usuarios y tampoco se tuvo éxito, muy extraño comportamiento ya que "veo" que se cumplen con lo necesario para hacer uso de FSSO.
Gracias