Quitar usuarios en una hora determinada

[titobv]

Gracias CMendoza, buenazo , si funciona el reboot a una hora determinada, ahora la idea es que a esa hora se quite a un grupo de las politicas con el fin de que no navegue, es decir a las 08:00 a un grupo1 se le quita de las politicas de navegacion pero como siguen navegando se reboot el firewall y se les obliga a salir, pero quiero que a las 14:00 el grupo1 vuelva a estar en las politicas y puedan volver a navegar, esto lo estoy haciendo manualmente, como puedo hacerlo en forma automatica.

Saludos.

--------------------

Hola titobv...

Los fortigate se pueden configurar para reiniciarse automáticamente configurando lo siguiente:

config system global
set daily-restart enable
set restart-time hh:mm
end

Mira a ver si funciona y nos cuentas.

Saludos.

[cmendoza]

Hola.

No puedes hacer eso con un schedule???

a las 8 reinicias pero a esa politicas la aplicas en un schedule que este activa desde las 14h hasta las 08h.

O eso o no se exactamente que es lo que quieres decir.

Saludos.

[titobv]

Estimado CMendoza :

Con schedule como te habia mencionado, los usuarios que ingresaron antes de las 08:00 siguen navegando luego de las 08:00, durante el tiempo que se encuentre activa la sesion, he probado con todas las instrucciones que tu gentilmente me diste pero no funciona y la unica posibilidad de sacar a los usuarios que se encuentren navegando es con reboot del firewall. Ahora la idea es ejecutar un script que permita sacar el grupo que no deseo que navegue de las politicas y restauralo partir de las 14:00.

Si me ayudas como incluir lo siguiente : ( en esta instruccion no incluyo el grupo1)

config firewall policys
edit 2
set groups "grupo2"
next

en este intruccion :

config systen global
set daily-restart enable
set restart-time 08:00
end

ahora para las 14:00 deseo incluirle nuevamente el grupo1 :

config firewall policys
edit 2
set groups "grupo2" "grupo1"
next

pero como le digo que haga esto desde las 14:00


Saludos.
Gracias.

Hola.

No puedes hacer eso con un schedule???

a las 8 reinicias pero a esa politicas la aplicas en un schedule que este activa desde las 14h hasta las 08h.

O eso o no se exactamente que es lo que quieres decir.

Saludos.

[cmendoza]

Hola...

Ahora creo que te he entendido mejor...

Lo que tendrías que hacer es dejar la politica que permite al grupo 2 intacta, y crear otra igual pero para los usuarios del grupo 1 y con una planificación (schedule) que vaya desde las 14h hasta las 08h... si te he entendido bien lo que quieres hacer creo que con esto te valdrá...

Saludos.

[titobv]

Te comento que si le he probado creando otra politica pero no funciona, de todas maneras le volvi a crear el dia de hoy :
1.- He creado la politica para el grupo1 con el schedule con horario de todo el dia.
2.- He creado la misma politica para el grupo2 pero con horario restringido es decir con schedule de 08:00 a 14:00

Pero la politica que va primero es decir la 1 se sobrepone a la 2, y cuando llega las 08:00 no se activan los usuarios que estan en la politica 2, y los usuario del grupo2 no pueden navegar. Si al grupo2 le paso a la politica 1 ahi si pueden navegar . Es decir deberia ejecutarse la politica 1 y luego la 2 y por lo tanto deberian los dos grupos tener acceso a navegar cada uno con su respectivo horario, el 1 horario abierto, y el 2 horario restringido, pero no se esta ejecutando la politica 2.

Cambio de posicion la politica 2 y le pongo primero y luego a la 1, ahi si se ejecuta la politica 2 pero la 1 sigue funcionando. Si hago un reboot con esta configuracion, la politica 1 que esta despues de la 2 ya no se ejecuta.

Toy hecho un lio.
Es por eso que me fui por el lado de ejecutar una tarea en un tiempo establecido.

Ideas please.

Hola...

Ahora creo que te he entendido mejor...

Lo que tendrías que hacer es dejar la politica que permite al grupo 2 intacta, y crear otra igual pero para los usuarios del grupo 1 y con una planificación (schedule) que vaya desde las 14h hasta las 08h... si te he entendido bien lo que quieres hacer creo que con esto te valdrá...

Saludos.

[cmendoza]

Hola...

Tienes razón... las reglas se solapan y siempre te pide la autenticación de la primera... Pues así, y de repente se me ocurren dos ideas:

1) Mantener las dos reglas, pero, para eliminar dicho solapamiento, localizar las IPs de las máquinas en las que se van a logear los usuarios del grupo1 y los usuarios del grupo2, y poner dichas IPs en el apartado source de la regla correspondiente.

2) Configurar los usuarios en un servidor radius, y establecer en que horas se les permite a dichos usuarios validarse en dicho servidor.

Puede que la primera idea no te valga porque tengas ips dinámicas o porque los usuarios se puedan cambiar la IP de su máquina, pero la segunda me parece muy buena idea.

Saludos.

[titobv]

Estimado CMendoza :
Ya probe con radius y con fsae . Con radius sucede lo mismo de las politicas , y con fsae si cierra la sesion de windows que es donde estoy donde la restriccion de tiempo el usuario ya no puede volver a ingresar al windows.
Encontre la instruccion execute batch pero no se como decirle que me ejecute una tarea a una hora determinada.
Saludos.

Hola...

Tienes razón... las reglas se solapan y siempre te pide la autenticación de la primera... Pues así, y de repente se me ocurren dos ideas:

1) Mantener las dos reglas, pero, para eliminar dicho solapamiento, localizar las IPs de las máquinas en las que se van a logear los usuarios del grupo1 y los usuarios del grupo2, y poner dichas IPs en el apartado source de la regla correspondiente.

2) Configurar los usuarios en un servidor radius, y establecer en que horas se les permite a dichos usuarios validarse en dicho servidor.

Puede que la primera idea no te valga porque tengas ips dinámicas o porque los usuarios se puedan cambiar la IP de su máquina, pero la segunda me parece muy buena idea.

Saludos.

[cmendoza]

Sobre el tema del radius... has puesto una sola regla en el fortigate??? y los usuarios del grupo 1 les has establecido una restricción de tiempo en el servidor de radius???

[sistemas.panama]

Saludos a todos, iba a solicitar ayuda sobre como sacar a los usuarios que estan navagando a una hora X y que llegada una hora Y sean sacados para evitar su navegacion, pero encuentro que este tema ya ha sido iniciado pero al parecer hay que hacerlo con todos.
No manejo ni un RADIUS server ni utilizo el FSAE ademas, quisiera poder reiniciar no el fortinet completo ya que tengo usuarios que no necesito sacar,
mi pregunta es como puedo sacar a ciertas politicas que ya tengo configuradas.
agradecido de antemano, raul

Gracias CMendoza, buenazo , si funciona el reboot a una hora determinada, ahora la idea es que a esa hora se quite a un grupo de las politicas con el fin de que no navegue, es decir a las 08:00 a un grupo1 se le quita de las politicas de navegacion pero como siguen navegando se reboot el firewall y se les obliga a salir, pero quiero que a las 14:00 el grupo1 vuelva a estar en las politicas y puedan volver a navegar, esto lo estoy haciendo manualmente, como puedo hacerlo en forma automatica.

Saludos.

--------------------

Hola titobv...

Los fortigate se pueden configurar para reiniciarse automáticamente configurando lo siguiente:

config system global
set daily-restart enable
set restart-time hh:mm
end

Mira a ver si funciona y nos cuentas.

Saludos.

[gabyrossi]

hola, coo estas? Creo que podes solucionar eso desde la politica de firewall creando un Schedule con los tiempos que necesites que funciones cada politica.

saludos
Gabriel