Que no pida autenticarse, utilizando el identity base policy

tavroma · Mensaje por **tavroma** » 26 Abr 2013, 00:10

Buenas tardes,

Tengo configurada un Fortinet 80C, donde tengo uso el FSSO para traer grupos de navegación desde el AD. En las políticas del Firewall tengo habilitado el Enable Identity Based Policy, tengo marcados los check de Fortinet Single Sign-On(FSSO) y NTLM Authentication.

Lo que sucede es que cada ves que cierran o reinician la máquina el navegador solicita ingresar el usuario y contraseña de dominio para que puedan navegar... hay alguna forma de que no pida esas credenciales a cada rato ys eguir usando el Identity Based Policy.

Agradezco la ayuda.

Mensaje por **gabyrossi** » 26 Abr 2013, 14:14

hola, deberias desmarcar ntlm.
pero si le pides use rya pass es porque algo no esta bien....

en el fsso lo ves autenticado?
en el fortigate lo ves autenticado?

supongo que ya tenes los grupos armados, con los grupos de ad dentro.

diagnose debug authd fsae list

saludos.

tavroma · Mensaje por **tavroma** » 26 Abr 2013, 16:11

Hola Gaby, gracias por tu respuesta.

Cuándo ejecuto el comando que indicas, me sale lo siguiente:

WEBFILTER # diagnose debug authd fsso lis
----FSSO logons----
Total number of logons listed: 0, filtered: 0
----end of FSSO logons---

En la parte de USER - Single Sign On - FSSO Agent, ahi tengo configurado el agente de conexión con el AD y efectivamente me jala todo los grupos del AD.

Posteriormente en User Group- User Group- En Fortinet Single Sign-ON(FSSO) tengo creado los grupos que jale del paso anterior y que son los que uso en la política.

Cómo veo el fsso autenticado?
Cómo veo el fortigate autenticado?

tavroma · Mensaje por **tavroma** » 26 Abr 2013, 16:19

Gaby, adicionalmente, si quito el ntlm authetication, los que están conectados por inalámbrica, no me navegann???

Mensaje por **gabyrossi** » 26 Abr 2013, 21:34

hola, si nos ves los usuarios en el fortigate quiere decir que el controller no se comunica con el fortigate para pasarle los logons.

Links de apoyo:

[Debes identificarte para poder ver enlaces.]

[Debes identificarte para poder ver enlaces.]

[Debes identificarte para poder ver enlaces.]

[Debes identificarte para poder ver enlaces.]

saludos-

tavroma · Mensaje por **tavroma** » 29 Abr 2013, 20:18

Gracias Gaby, efectivamente algo está mal porque me pide usuario y clave cada ves que quiero navegar, ya puse el caso con soporte de fortinet, porque según la documentación que mencionas y siguiendo los pasos, debería de hacerlo.

Gracias.

Mensaje por **gabyrossi** » 30 Abr 2013, 01:20

Hola, seguramente algo se te esta escapando...
habria que revisarlo bien.

saludos

tavroma · Mensaje por **tavroma** » 01 May 2013, 00:45

Será que me das una mano remota?

Será posible?

j.urena · Mensaje por **j.urena** » 01 May 2013, 18:13

tavroma escribió:Será que me das una mano remota?

Será posible?

Cuando vas al Fortigate > User > Single Sing-On > FSSO Agent

Muestra los grupos que estás autenticando???

Imagen

Yo tengo configurado en el FSSO que solo monitore los logon de los grupos de Internet.

Para configurar eso debes ir al Agente en el servidor del Dominio y en la opción Set Group Filter, agregar sólo los grupos que quieres que se monitoreen.

tavroma · Mensaje por **tavroma** » 02 May 2013, 16:03

Es correcto, lo tengo igual que vos y efectivamente los grupos se ven sin problema.

j.urena · Mensaje por **j.urena** » 03 May 2013, 10:14

tavroma escribió:Es correcto, lo tengo igual que vos y efectivamente los grupos se ven sin problema.

Esos grupos están asociados con un grupo de Firewall????

Cuantos servidores de active directory tienes??

tavroma · Mensaje por **tavroma** » 03 May 2013, 15:45

Correcto, están asociados con un grupo de firewall el cuál es el que uso en el identity base policy.

Tengo dos Active Directories, pero el Agente está instalado sólo en uno.

Saludos.

Mensaje por **gabyrossi** » 03 May 2013, 15:51

hola, tenes que tener el colector en uno y el agente en los 2.

los grupos de ad no se agregan en un grupo de firewall sino en un grupo de Fortinet Single Sign-On(FSSO)

SALUDOS.

tavroma · Mensaje por **tavroma** » 03 May 2013, 16:39

Sí disculpas, están asociados a en un grupo de Fortinet Single Sign-On(FSSO)

Voy a reinstalar el agente a ver el edirectory agent no hace falta instalarlo correcto?

Tengo el "Fortinet SSO Collector Agent".. y el "Fortinet Edirectory Agent"

Sólo el primero debo instalar o los dos?

j.urena · Mensaje por **j.urena** » 03 May 2013, 16:48

tavroma escribió:Sí disculpas, están asociados a en un grupo de Fortinet Single Sign-On(FSSO)

Voy a reinstalar el agente a ver el edirectory agent no hace falta instalarlo correcto?

Tengo el "Fortinet SSO Collector Agent".. y el "Fortinet Edirectory Agent"

Sólo el primero debo instalar o los dos?

Yo solo uso uno: Fortinet Single Sign On Agent (FSSO)

Comunidad FORTIGATE.es

Que no pida autenticarse, utilizando el identity base policy

Que no pida autenticarse, utilizando el identity base policy

Re: Que no pida autenticarse, utilizando el identity base po

Re: Que no pida autenticarse, utilizando el identity base po

Re: Que no pida autenticarse, utilizando el identity base po

Re: Que no pida autenticarse, utilizando el identity base po

Re: Que no pida autenticarse, utilizando el identity base po

Re: Que no pida autenticarse, utilizando el identity base po

Re: Que no pida autenticarse, utilizando el identity base po

Re: Que no pida autenticarse, utilizando el identity base po

Re: Que no pida autenticarse, utilizando el identity base po

Re: Que no pida autenticarse, utilizando el identity base po

Re: Que no pida autenticarse, utilizando el identity base po

Re: Que no pida autenticarse, utilizando el identity base po

Re: Que no pida autenticarse, utilizando el identity base po

Re: Que no pida autenticarse, utilizando el identity base po