Comunidad FORTIGATE.es

Buenas tardes,

Tengo configurada un Fortinet 80C, donde tengo uso el FSSO para traer grupos de navegación desde el AD. En las políticas del Firewall tengo habilitado el Enable Identity Based Policy, tengo marcados los check de Fortinet Single Sign-On(FSSO) y NTLM Authentication.

Lo que sucede es que cada ves que cierran o reinician la máquina el navegador solicita ingresar el usuario y contraseña de dominio para que puedan navegar... hay alguna forma de que no pida esas credenciales a cada rato ys eguir usando el Identity Based Policy.

Agradezco la ayuda.

hola, deberias desmarcar ntlm.
pero si le pides use rya pass es porque algo no esta bien....

en el fsso lo ves autenticado?
en el fortigate lo ves autenticado?

supongo que ya tenes los grupos armados, con los grupos de ad dentro.

diagnose debug authd fsae list

saludos.

Hola Gaby, gracias por tu respuesta.

Cuándo ejecuto el comando que indicas, me sale lo siguiente:

WEBFILTER # diagnose debug authd fsso lis
----FSSO logons----
Total number of logons listed: 0, filtered: 0
----end of FSSO logons---

En la parte de USER - Single Sign On - FSSO Agent, ahi tengo configurado el agente de conexión con el AD y efectivamente me jala todo los grupos del AD.

Posteriormente en User Group- User Group- En Fortinet Single Sign-ON(FSSO) tengo creado los grupos que jale del paso anterior y que son los que uso en la política.

Cómo veo el fsso autenticado?
Cómo veo el fortigate autenticado?

Gaby, adicionalmente, si quito el ntlm authetication, los que están conectados por inalámbrica, no me navegann???

hola, si nos ves los usuarios en el fortigate quiere decir que el controller no se comunica con el fortigate para pasarle los logons.

Links de apoyo:

[Debes identificarte para poder ver enlaces.]

[Debes identificarte para poder ver enlaces.]

[Debes identificarte para poder ver enlaces.]

[Debes identificarte para poder ver enlaces.]


saludos-

Gracias Gaby, efectivamente algo está mal porque me pide usuario y clave cada ves que quiero navegar, ya puse el caso con soporte de fortinet, porque según la documentación que mencionas y siguiendo los pasos, debería de hacerlo.

Gracias.

Hola, seguramente algo se te esta escapando...
habria que revisarlo bien.

saludos

Será que me das una mano remota?

Será posible?

tavroma escribió:Será que me das una mano remota?

Será posible?

Cuando vas al Fortigate > User > Single Sing-On > FSSO Agent

Muestra los grupos que estás autenticando???



Yo tengo configurado en el FSSO que solo monitore los logon de los grupos de Internet.

Para configurar eso debes ir al Agente en el servidor del Dominio y en la opción Set Group Filter, agregar sólo los grupos que quieres que se monitoreen.

Es correcto, lo tengo igual que vos y efectivamente los grupos se ven sin problema.

tavroma escribió:Es correcto, lo tengo igual que vos y efectivamente los grupos se ven sin problema.

Esos grupos están asociados con un grupo de Firewall????

Cuantos servidores de active directory tienes??

Correcto, están asociados con un grupo de firewall el cuál es el que uso en el identity base policy.

Tengo dos Active Directories, pero el Agente está instalado sólo en uno.

Saludos.

hola, tenes que tener el colector en uno y el agente en los 2.

los grupos de ad no se agregan en un grupo de firewall sino en un grupo de Fortinet Single Sign-On(FSSO)

SALUDOS.

Sí disculpas, están asociados a en un grupo de Fortinet Single Sign-On(FSSO)

Voy a reinstalar el agente a ver el edirectory agent no hace falta instalarlo correcto?

Tengo el "Fortinet SSO Collector Agent".. y el "Fortinet Edirectory Agent"

Sólo el primero debo instalar o los dos?

tavroma escribió:Sí disculpas, están asociados a en un grupo de Fortinet Single Sign-On(FSSO)

Voy a reinstalar el agente a ver el edirectory agent no hace falta instalarlo correcto?

Tengo el "Fortinet SSO Collector Agent".. y el "Fortinet Edirectory Agent"

Sólo el primero debo instalar o los dos?

Yo solo uso uno: Fortinet Single Sign On Agent (FSSO)