Página 1 de 1
Problema con politicas de FSSO
Publicado: 04 Nov 2015, 14:05
por PabloCarrillo
Hola a todos,
Les cuento, tengo actualmente 2 Fortigate 600c en HA y estoy tratando de hacer politicas de navegacion por usuarios. Instale el agente FSSO en LDAP y en el firewall puedo ver los grupos de usuarios, todo funcionaba sin problemas hasta hace un par de dias, ahora cuando alguien trata de navegar es direccionado a un portal del firewall que le pide usuario y contraseña (sin importar a que grupo pertenece), revise las configuraciones del equipo pero en ninguna parte esta aplicado el portal. Para que puedan navegar he tenido que crear una politica de salida a internet por IP, pero eso no es realmente lo que necesito.
Espero que si a alguien le ha pasado algo similar me pueda dar una mano
Saludos
Re: Problema con politicas de FSSO
Publicado: 04 Nov 2015, 14:41
por cmendoza
Hola.
Has mirado si en el FG siguen apareciendo los usuarios validados? Y en el agente aparecen?
Si no has tocado nada en los FGs, es posible que necesites reiniciar el servicio del agente que monitoriza los logins de los usuarios.
Un saludo.
Re: Problema con politicas de FSSO
Publicado: 04 Nov 2015, 15:09
por PabloCarrillo
Hola,
Gracias por la respuesta. En el firewall si me aparecen los usuarios validados, lo he revisado tanto por pagina como por cli (de hecho aparecen validados con su tiempo real de conexion ej 15 minutos, 1 hora, etc). Dentro de las pruebas que hemos realizado ya he reiniciado el agente que esta instalado en el LDAP.
Saludos
Re: Problema con politicas de FSSO
Publicado: 05 Nov 2015, 01:24
por gabyrossi
hola, podriasmostrar los grupos de usuarios como estan armados?y las politicaS?
Re: Problema con politicas de FSSO
Publicado: 05 Nov 2015, 22:35
por PabloCarrillo
Hola,
Me acabo de llevar una sorpresa, al momento de tratar de ver los grupos por cli me aparece un mensaje diciendo que el demonio fsso no esta activo, antes lo habia hecho y no me daba ese error
PRIMARIO # diagnose debug fsso-polling summary
fsso daemon is not running
Mis politicas de usuarios son asi:
PRIMARIO # show firewall policy 83
config firewall policy
edit 83
set uuid 9e46ff80-0d7e-51e5-915b-6cc697b76db6
set srcintf "port1"
set dstintf "wan1"
set srcaddr "all"
set dstaddr "all"
set action accept
set schedule "always"
set service "Navegacion_basica"
set utm-status enable
set fsso enable
set groups "Usuarios_Normales_Internet"
set webfilter-profile "ENAMI_WEB_FILTER_2"
set ips-sensor "default"
set application-list "Bloqueo Proxy"
set profile-protocol-options "default"
set nat enable
next
end
PRIMARIO # show firewall policy 82
config firewall policy
edit 82
set uuid 4cca46b2-0d7e-51e5-b883-542144a2a81c
set srcintf "port1"
set dstintf "wan1"
set srcaddr "all"
set dstaddr "all"
set action accept
set schedule "always"
set service "ALL"
set utm-status enable
set logtraffic all
set fsso enable
set groups "Usuarios_TI" "usuarios_Permitido_Todo"
set application-list "Bloqueo Proxy"
set profile-protocol-options "default"
set nat enable
next
end
Saludos
Re: Problema con politicas de FSSO
Publicado: 06 Nov 2015, 22:17
por gabyrossi
hola, que firmware estas usando?
Re: Problema con politicas de FSSO
Publicado: 09 Nov 2015, 19:17
por PabloCarrillo
Hola, cuando se presento el problema tenia 5.2.1, la semana pasada lo actualice a 5.2.4
Saludos
Re: Problema con politicas de FSSO
Publicado: 16 Nov 2015, 13:01
por gabyrossi
Y se arreglo ? en que estado esta?
Re: Problema con politicas de FSSO
Publicado: 16 Nov 2015, 21:45
por PabloCarrillo
Hola, lo arreglamos. Cuando implementamos el cliente nos declaro solo un servidor de autenticacion. Haciendo pruebas nos dimos cuenta que tenia al menos dos servidores mas con el rol de secundario y algunos usuarios se autenticaban alli. La solucion fue agregar los servidores secundarios al agente que estaba instalado en el primario. Al menos desde el jueves hasta ahora no hemos tenido reclamos.
Gracias por la ayuda y la preocupacion