presentación y duda autenticación en politicas

[anfont]

Hola a todos,
Desde hace mas o menos un año tenemos dos fortigate 100A en HA, a los que de momento no les he sacado todo el jugo que pueden dar, al ser bastante estáticas las configuraciones de red que manejamos. Una de las cosas que he intentado hacer y no hay manera es requerir autenticación previa para que una política que se permita el acceso via una determinada política. He creado usuarios locales, he activado la autenticación via http, he creado varias reglas de prueba etc... pero no hay manera de que al intentar acceder a la interfaz del fw o al destino tras el fw con el navegador me pida autenticación. No se si el problema direcatmente es mio al no haber entendido como funciona el sistema de autenticación. La documentación on-line no me ha ayudado demasiado. Alguna idea de que puede ser que falle?

(mi versión de firmware es la 3.00,build0318,060630)

Saludos y gracias por su ayuda.

[gabyrossi]

Hola, como estas? los usuarios locales estan dentro de un grupo de firwewall? y la politica que queres autenticar agregas el grupo ?
en ningun momento te pide user y password?
el firmware 318 es bastante viejo, si podes actulizarlos a algun MR5 seria lo mejor.

saludos
Gabriel

[anfont]

Hola,
Gracias por tu respuesta.
Si, habia seguido los pasos de "manual". Crear usuarios locales del fw, crear un grupo e incluir los usuarios, crear una política , marcar el checkbox de autenticación, incluir el grupo. Pero sigue sin funcionar. Detallo el escenario para ver en que me puedo equivocar:

pretendo que usuarios remotos que entran via una VPN para administrar servidores mediante ssh (el cliente ssh es el putty) se autentiquen de alguna forma en el fw antes de que el servidor les pida login. Solo hay esta politica activada para la ip origen del cliente 192.168.1.1 destino 10.0.0.1 puerto 22. Cuando creo la política sin autenticación funciona perfectamente. Cuando añado la autenticación intento primero acceder via [Debes identificarte para poder ver enlaces.] esperando que me pida user y pw. Simplemente no me pide nada y la politica no funciona, es decir, no tengo conexión com el servidor en el puerto 22. Si deshabilito la autenticación vuelve a funcionar. Alguna idea de que puede pasar?

Saludos y gracies de antemano.

[gabyrossi]

hola, como estas? Mira para que te ande la autenticacion no todos los protocolos autentican, los que si lo hacen son: hhtp, https,ftp,telnet, y nose si hay algun otro, creo que solo esos.

Entonces vos queres hacerlo por ssh y no vas a poder, tendras que hacer alguna aotra autenticacion por otro protocolo primero o alguna otra manera.

saludos
Gabriel

[anfont]

hola, como estas? Mira para que te ande la autenticacion no todos los protocolos autentican, los que si lo hacen son: hhtp, https,ftp,telnet, y nose si hay algun otro, creo que solo esos.

Entonces vos queres hacerlo por ssh y no vas a poder, tendras que hacer alguna aotra autenticacion por otro protocolo primero o alguna otra manera.

saludos
Gabriel

Si, ya me va bién que el usuario antes de entrar por ssh necesite hacer una validación por http, https etc. solo es para tener una medida de seguridad mas antes de entrar en el servidor y de paso logear los login. Que te parece que està fallando? en principio creo que los pasos són correctos.

saludos,

[gabyrossi]

Hola, no esta fallando nada, la autenticacion solo se hace por esos protocolos que antes te pase.

saludos
Gabriel

[anfont]

Bién ya veo donde fallaba. si cambio la política ip origen del cliente 192.168.1.1 destino 10.0.0.1 puerto 22, por ip origen del cliente 192.168.1.1 destino 10.0.0.1 puerto 80 y intento acceder con el navegador a [Debes identificarte para poder ver enlaces.] me pide autenticación. Mi intención era que antes de que se pudiese acceder a 10.0.0.1 por puerto 22, el usuario se validase en el fw mediante http o https, y después que se le permitiese el acceso a ssh, ya que al parecer no esta soportado que te pida login y pw para protocolos distintos de https, http, ftp, telnet. Sabeis si hay alguna forma de tener estas "políticas condicionales"?

Saludos,

[gabyrossi]

hola, como estas? por ahora no hay nada de eso. eh visto que muchos les hacen accesos directos en el escritorio de las pc's, a alguna pagina, donde lo primero que tengan que hacer es acceder a ese acceso directo donde les pida el usuario y contraseña (auntenticacion) y luego hacen lo que necesieten por otro protocolo.

saludos
Gabriel