Problemas con el FSAE y los usuarios no identificados
Publicado: 10 Mar 2011, 19:20
Hola compañeros,
Tengo un problema con el FSAE. Tengo un dominio con dos DC. En cada uno de los DC tengo instalado el FSAE DC Agent, y en uno de ellos tengo el Collector.
Definí tres grupos en el Active Directory, llamados "Fortigate Acceso Total", "Fortigate Acceso Normal" y "Fortigate Acceso Restringido", y todos los usuarios del dominio son miembros de uno de estos grupos, el que pertoque a cada uno.
Luego en el Fortigate definí el LDAP, y Directory Service, y me reconoce mis grupos del active directory sin problemas.
Por último, definí la política del firewall, habilitando la opción "Enable Identity Based Policy", y creando tres reglas, en este orden (y todas para protocolo ANY):
1 - Regla que afecta al grupo "Fortigate Acceso Total", sin filtrado UTM
2 - Regla que afecta al grupo "Fortigate Acceso Normal", con un filtrado UTM leve (páginas guarrillas y demás)
3 - Regla que afecta a los grupos "Fortigate Acceso Restringido" y "FSAE_Guest_Users", que lleva un filtrado UTM "severo".
Y.... tachán!!! Todo funciona de maravilla. Los usuarios pueden navegar por las páginas por las que se supone que pueden navegar, y nada más. Tengo a media plantilla con la foto de Informática a modo de diana para los dardos, porque ya no pueden navegar por las redes sociales.
Peeeeero (siempre hay un pero), el problema lo tengo con las máquinas y usuarios que no pertenecen al dominio. Cuando alguien intenta navegar desde una máquina conectada a la red interna, pero sin que esté en dominio, automáticamente le sale una ventanita que le pide usuario y contraseña.
Yo creía que esta gente caería en el grupo FSAE_Guest_Users y que no pediría autentificación.
Tengo algunos usuarios itinerantes, que utilizan portátiles que no están en dominio, o personal externo como los auditores que vienen de vez en cuando y necesitan acceso a Internet.
¿Cómo le puedo hacer para que a los usuarios que no estén autenticados en dominio no les pida usuario y contraseña y les aplique una política del firewall automáticamente?
Tenemos un Fortigate 50b con firmware 4.0, y la versión el FSAE es la 3.5.
Saludos,
Paco Vela.
Tengo un problema con el FSAE. Tengo un dominio con dos DC. En cada uno de los DC tengo instalado el FSAE DC Agent, y en uno de ellos tengo el Collector.
Definí tres grupos en el Active Directory, llamados "Fortigate Acceso Total", "Fortigate Acceso Normal" y "Fortigate Acceso Restringido", y todos los usuarios del dominio son miembros de uno de estos grupos, el que pertoque a cada uno.
Luego en el Fortigate definí el LDAP, y Directory Service, y me reconoce mis grupos del active directory sin problemas.
Por último, definí la política del firewall, habilitando la opción "Enable Identity Based Policy", y creando tres reglas, en este orden (y todas para protocolo ANY):
1 - Regla que afecta al grupo "Fortigate Acceso Total", sin filtrado UTM
2 - Regla que afecta al grupo "Fortigate Acceso Normal", con un filtrado UTM leve (páginas guarrillas y demás)
3 - Regla que afecta a los grupos "Fortigate Acceso Restringido" y "FSAE_Guest_Users", que lleva un filtrado UTM "severo".
Y.... tachán!!! Todo funciona de maravilla. Los usuarios pueden navegar por las páginas por las que se supone que pueden navegar, y nada más. Tengo a media plantilla con la foto de Informática a modo de diana para los dardos, porque ya no pueden navegar por las redes sociales.
Peeeeero (siempre hay un pero), el problema lo tengo con las máquinas y usuarios que no pertenecen al dominio. Cuando alguien intenta navegar desde una máquina conectada a la red interna, pero sin que esté en dominio, automáticamente le sale una ventanita que le pide usuario y contraseña.
Yo creía que esta gente caería en el grupo FSAE_Guest_Users y que no pediría autentificación.
Tengo algunos usuarios itinerantes, que utilizan portátiles que no están en dominio, o personal externo como los auditores que vienen de vez en cuando y necesitan acceso a Internet.
¿Cómo le puedo hacer para que a los usuarios que no estén autenticados en dominio no les pida usuario y contraseña y les aplique una política del firewall automáticamente?
Tenemos un Fortigate 50b con firmware 4.0, y la versión el FSAE es la 3.5.
Saludos,
Paco Vela.