Dolores de Cabeza con Ldap

[japerfecto]

Tengo un fortinet 60c con version v4.0,build5352,101007. (esto es lo que me aparece en el firewall, pero cuando miro dentro del firmware me dice que es 3l 4.0 build 291)

Después de seguir varios manuales estoy desconcertado por el comportamiento que considero errático de mi firewall.

Segun los manuales primero tengo que configurar la opción usuario/remoto/ldap (para tener el conector para el siguiente paso) y me aparece la conexión a donde quiero llevarla, bien sea una ou o la raiz del directorio activo.

La configuración de estos conectores es apuntando al puerto 3268 que es el catálogo global

Como lo que yo quiero es tener la validación de la salida a internet por usuario voy al siguiente apartado que es servicio de directorio y ahi configuro apuntando por un lado al colector agent (que lo tengo en un equipo diferente a los controladores de dominio instalado) y configuro la conexión a servidor ldap.

REviso en el colector agent y veo el fortinet conectado pero si no establezco filtros no hay manera de poder crear grupos en el siguiente paso. He conseguido que me funcione si establezco los filtros a nivel de colector agent y entonces es capaz de verlos el fortinet de la forma dominio/nombre de grupo.

Creo los grupos y empiezo a trabajar,creo las políticas basadas en identidad pero se me da el caso curioso de que hay usuarios que veo logueados en el fortinet y a los 10 minutos desaparecen y tienen que cerrar sesión en su equipo y volverla a abrir para que puedan volver a salir a internet.

No se si el problema viene dado porque hasta ahora las políticas eran por ip y ahora estoy cambiándolas a validación contra ldap.

Si alguien me pudiera intentar aclarar algo esto.

[gabyrossi]

Hola, hay seteos de timers que deberias revisar en el fsso y tambien en el fotigate user -> settings.

saludos

[japerfecto]

Por partes.

Uno de los usuarios que me daba problemas ayer creo que era debido a que tenía el firewall abajo. Quitarlo y a funcionar sin problemas.

Los timers estan configurados de la siguiente manera

workstation verify interval:0 de manera que si tengo algún otro equipo con el firewall levantado no me de problemas
dead entry timeout interval: 720 ya que asi me cubre desde las 8 de la mañana a las 6 de la tarde sin purgar registros y cualquiera que se haya logueado una vez no me debiera dar problemas en todo el día.
ip changes verify interval: 3600 segundos para que verifique cada hora si cambia ip, como tengo configurado un dhcp con 8 días de concesión entiendo que una hora es suficiente para tener un compromiso entre verificación por psible cambio de ip.

El tiempo de vida de la autenticación en el fortinet son 5 minutos que entiendo que es suficiente.

El problema del usuario que no salía venía dado porque tengo el firewall conectado a dos routers para tener alta disponibilidad y balanceo de carga y ayer toque la política que iba a una de las wan dejando un grupo fuera. Con todo agradecería un comentario de si te parece lógica la configuración que he hecho de los timers.

Una cosa más. Darte las gracias por mantener este foro en el que me he apoyado mucho para ir conociendo las bondades de los productos Fortinet.

S2

[gabyrossi]

Hola, si los timers estarian bien. Yo generalmente muevo un poco el timeout en el fortiagte en vez 5 min varios minutos mas.
pero si asi esta bien.
perfecto.

gracias a vos por los comentarios.

saludos