Falla FSAE en FortiWifi 60A

[jsaavedra]

Buenas a todos los usuarios de este foro.

Les comento un breve resumen del escenario que tengo configurado para que puedan entender un poco la situacion.

1. Servidores: Windows 2003 y Windows 2008. Cada uno tiene instalado el AC FSAE. en el 2003 IP: 172.16.1.5 Fijo. y el 2008: 172.16.1.1 Fijo.

2. Fortigate: FortiWifi60A Version Firmware: FortiWiFi-60A 3.00-b0752(MR7 Patch . El equipo se comunica bien con ambos AC FSAE , mostrandome en el Directory Services. ambos y los Grupos creados en el Active Directory de ambos Windows.

3.Cree en User Group. Los grupos, definiendolos con el mismo nombre que les coloque en mi Active Directory. El type de cada grupo es Directory services y luego asigno a cada grupo los reflejados en el Directory services.

Tengo 4 grupos

Soporte----------Windows2008
Admin-----------Windows2008
Ventas-----------Windows2008
Por los momentos los 3 tienen un mismo profile, luego lo ire cambiando ..estos pertenecen al domanin controler 172.16.1.1

Consultores--------Windows2003 este pertence al domain controler 172.16.1.5.


4. Creo una politica de la siguiente manera...

Source: IP LAN. 172.16.1.0
Destination: All
Schedule: Always
Services: Tengo un servicio creado llamado Servicios WEB que incluye( http, https, Sip-Messenger)
Profile: Selecciono NAT. Authentication y NTLM autentication. y agrego mis UserGroup, ya definidos en el Fortigate. en el PASO 3.

Todo esto, funciona un 90 %.. ya que los usuarios de los grupos Ventas, Soporte. se conectan a internet y se aplican las politicas establecidas pero no les solicita login y pwd NTLM al acceder a IE o Firefox.

Mi duda esta en los otros 2 grupos Admin y Consultores:

Admin: Solicita login NTLM y al colocar el usuario de dominio de esta forma domain\user. y password. me da error de que no puede conseguir la pagina porq el server la esta redirigiendo de una manera que nunca terminara.

Consultores:Solicita login NTLM y al colocar el usuario de dominio de esta forma domain\user. y password. y se conecta perfectamente.

Quisiera que todo fuera como los grupos de Soporte y Ventas.

PD: Ya probe actualizandon el firmware a la ultima version... y sigue igual. tiene la comentada actualmente porque pense que degradandola podia funcionar.

Espero puedan entenderme.. no les muestro los print screen porque no se como subirlos...jejejejjee

[gabyrossi]

hola, como estas¿

bueno, algunos temas.
SI tenes winfows 2008, el unico el fsae compatible es 4.0.

SI usas fsae para autenticar por ad, no necesitas ntlm. salvo que por alguna razon quieras que le pidas user y pass. sino no es necesario. ya cuando se loguea a windows toma esa cxredenciales.
o por que motivos queres usar ntlm?????
En mr7 no se que patch tenes pero trata de poner el ultimo.mr7 patch9


saludos

[jsaavedra]

Muchas Gracias Gabyrossi, tome tu opinion.
Hice lo siguiente:

Actualize el Firmware al FortiWiFi-60A 3.00-b0753(MR7 Patch 9)
Actualize el FSAE al 3.5 que es la version que se encuentra en el ftp de Fortinet>Firmware>Imagen>Fortigate>4.0

Configure todo nuevamente y desactive el NTLM . Y funciono !

Ahora me esta ocurriendo algo un poco extraño y me parece que es la politica. te la comento.:

Source: IP LAN: 172.16.1.0
Destiantion: all
Schedule: all
Service: Servicios Web (http, https, ping )
Profile: Seleccione Authentication >Diretory Service FSAE
Y adicione todos los Users Group creados con su respectivo profile definido en User Group. son 4 grupos con 4 Profile distintos.....

Bueno la falla es que derepente todo el mundo se queda sin internet. TODOS . Intente borrando el cahe group de ambos DC agent pero nada.. eso fue ayer en al mañana todo el mundo funciono como fue configurado pero a eso de las 3pm murio el acceso a internet y no fue por fallas del ISP.

Voy a probar hoy a ver que pasa..............Restaure una copia de la configuracion y levanto de nuevo todo... espero no falle. pero si falla ahi te comento la configuracion para ver si es algo que hice mal.

Gracias de Antemano

[gabyrossi]

Hola, varias cosas por revisar. el fsae esta instalado en los 2 dc???? Luegho de instalar re-iniciaste los servidores?
Si tus DCs tambien son dns, hace una politica arriba del todo para el servicio dns solo para tu dns interno, sin autenticar.

La politica autenticada esta natead, no ?
revisando los fsae:
show service status -> deberias ver el fortigate, serial number, ip, etc
show monitor DC's -> deberias ver los 2 dc que tenes.
show logon user -> deberias ver los usuarios logueado al dominio.

en el fortigate chqueaste algunos de estos comandos?

diagnose debug authd fsae

clear-logons (clear logon information)
list (list current logons)
refresh-groups (refresh group mappings)
refresh-logons (resync logon database)
server-status (show FSAE server connection status)
summary (summary of current logons)

execute fsae refresh

contame que ves

saludos

[jsaavedra]

Hola, varias cosas por revisar. el fsae esta instalado en los 2 dc????
R: Si esta instalado en ambos servidores DC.
Luegho de instalar re-iniciaste los servidores?
R: Si ambos Servidores fueron reiniciados.

Si tus DCs tambien son dns, hace una politica arriba del todo para el servicio dns solo para tu dns interno, sin autenticar.
R: Esta parte es la que no esta hecha.. la cree de la siguiente manera.

Por encima de la politica que me autentica toda mi red basandose en el FSAE cree esta otra politica como tu me lo pide pero no se si esta bien (corrigm)
De mi internal a Wan1

Source: Internal
Source addres: DC LINSOFT (172.16.1.1)
Destino:Wan1
Destino Address: All.
Tiempo: siempre
Service: DNS.
Action: Accept
NAT: Activo
Sin Autenticar ,Sin profile.

La politica autenticada esta natead, no ?
R: Si es Nateada.

revisando los fsae:
show service status -> deberias ver el fortigate, serial number, ip, etc
show monitor DC's -> deberias ver los 2 dc que tenes.
show logon user -> deberias ver los usuarios logueado al dominio.
R: Esto no lo realizado, pero mañana hago estas pruebas.

en el fortigate chqueaste algunos de estos comandos?

diagnose debug authd fsae

clear-logons (clear logon information)
list (list current logons)
refresh-groups (refresh group mappings)
refresh-logons (resync logon database)
server-status (show FSAE server connection status)
summary (summary of current logons)

execute fsae refresh
R: tampoco los he realizado, intente pero me da error debe ser q estoy copiando mal el comando al parecer.... no se si es con execute primero..

[gabyrossi]

Hola, si la politica de dns esta ok.

luego verifica todo lo demas y nos cuentas.

saludos

[jsaavedra]

Listo gabyrossi. Muchisimas gracias

[jsaavedra]

Hola, que tal comunidad..

Les comento que el FSAE. Funciona bien, solo con algunos usuarios de ciertos grupos que no me aplica el profile que le tengo configurado en User group... por ejemplo.

Grupo AD.

Gerencia. Miembros: ( luis, jose , maria)

User group Directory services
Gerencias Profile definido... Avanzado ( este profile es bastante abierto)

Una de las fallas que tengo, es con el usuario jose y maria... q se les aplica un profile mas restringido... el de otros grupos.. como : Basico, Secretaria.....

No se que puede estar pasando...
siempre ejecuto:

Entro a mi DC, y abro FSAE y ejecuto Clear cache Group.
Reinicio el Pc del usuario. y veo los Logon users del FSAE, pero sigue aplicandose otras restricciones..

Si alguien puede darme un apoyo. o una pista de que me puede estar pasando... en los Post anteriores esta toda la cofiguracion .
execute fsae refresh

[gabyrossi]

Hola, como ves los usuarios desde el fortigate?????

podes mostrar el ad desde fortigate?
y los grupos?

saludos

[jsaavedra]

Ok, Gabyrossi, los users no los puedo ver en el Fortigate.. osea Logon Users... tengo la version Firm 3.0 Fortiwifi60A

Lo que hago es entro al Directory Services. y alli veo los Grupos que decidi filtrar.

[jsaavedra]

Gabyrossy.. te comento algo..

Tengo creada 1 sola politica en la cual tengo authentication activado FSAE. y agrego a todos mis User Group de directory services donde estan los grupos de AD cada uno con su profile..... eso podria afectar el desempeño del FSAE.

Que me recomiendas.........

[gabyrossi]

hola, tendras en la politica los grupos de ad necesarios que que el usuario tome esa credenciales.

si haces enb el fortigate esto

que ves:

diagnose debug authd fsae list

saludos

[jsaavedra]

Hola Gabyrossi.
aqui te muestro el resultado del comando:

FW60-LINEA # diagnose debug authd fsae list

----FSAE logons----
IP: 172.16.1.29 User: JSAAVEDRA Groups: LINSOFT/VENTAS IT
IP: 172.16.1.39 User: CGARCIA Groups: LINSOFT/SOPORTE TECNICO
IP: 172.16.1.43 User: TSMARTIN Groups: LINSOFT/VENTAS IT
IP: 172.16.1.45 User: MBETANCOURT Groups: LINSOFT/GALANET
IP: 172.16.1.55 User: GGONZALEZ Groups: LINSOFT/CARBOLUZ
IP: 172.16.2.59 User: LLONGA Groups: LINSOFT/SOPORTE TECNICO

Total number of users logged on: 6
----end of FSAE logons----

Respecto a las politicas como me recomiendas tu que las configure....? 1 politica por grupo..

P.D: Ninguno de los usuarios pertenece a mas de un grupo...!!

[gabyrossi]

hola, ok

cuando se autentica solo se arma una politica y cada grupo tendra su perfil etc etc.

la politica nateada.

saludos

[jsaavedra]

Buenas, que puede estar pasando con mi FSAE, ya en el Show logons users los usuarios me muestras al momento de conectarse los usuarios Status Ok.. pero al pasar un rato cambia a No verificado... cuando ejecuto el siguiente comando

diagnose debug auth fsae list, me muestra los usuarios logon totales.... y filter 0..

Que puede estar pasando?.... el filtrado se aplica algunos usuarios.....