Comunidad FORTIGATE.es

Web NO OFICIAL de soporte en español
https://www.fortigate.es/

Application Control:Usuario en multiples grupos

https://www.fortigate.es/viewtopic.php?t=4111

Página 1 de 1

Application Control:Usuario en multiples grupos

Publicado: 29 Ago 2013, 15:18
por mcorchero
Tenemos un forti con versión 4 MR3 Patch12.
Nuestro problema es que necesitamos la autenticación de usuarios en múltiples grupos para hacer perfiles jerárquicos de filtrado de aplicaciones (Application sensor profile). Leyendo el manual interpretamos que nos debería funcionar, pero en las pruebas realizadas no nos funciona.
Os comento:
Suponed que tenemos varios usuarios cada uno con unas necesidades diferentes:

- A: Navegación web con filtrado
- B: Lo mismo que A + skype + dropbox + ammy
- C: Lo mismo que A + dropbox + youtube
- D: Lo mismo que A + skype + youtube + ammy
- E: Lo mismo que A + dropbox
- F: Lo mismo que A + ammy
- G: Lo mismo que A + ammy + youtube

Ahora bien, nuestro objetivo sería poder crear un perfil navegación, un perfil skype, un perfil dropbox, un perfil youtube y un perfil ammy.
Después agregar los usuarios a los perfiles en cuestión y añadir al final de la regla una política por defecto que filtre todo lo demás. De esta forma, un usuario D por ejemplo, pertenecería a los perfiles navegación + skype + youtube + ammy y tendría permitido la totalidad de aplicaciones de los cuatro perfiles.

¿Se puede hacer? De no ser posible, ¿Hay alguna solución que no implique crear un perfil individualizado para cada uno de ellos?

Muchas gracias. Un saludo.

Re: Application Control:Usuario en multiples grupos

Publicado: 29 Ago 2013, 20:15
por gabyrossi
hola, aclaremos algo:
Siempre la ides es armar grupos de usuarios dependiendo de los filtros que van a tener.
ejemplo

grupoA
grupoB
grupoC

Cada grupo trendra su perfil de filtradoweb + el application control.

grupoA + FiltroWeb_A + Application_ControlA
grupob + FiltroWeb_B + Application_ControlB
grupoc + FiltroWeb_C + Application_ControlC

de esa manera te serviria?

Re: Application Control:Usuario en multiples grupos

Publicado: 30 Ago 2013, 10:52
por mcorchero
Gracias por la rápida respuesta.

Así es como lo tenemos pero, claro, nos obliga a tener multitud de grupos, dada la casuistica existente. Si nos permitiese una construcción de los permisos por capas, el numero de grupos se reduciría bastante. Pero lo hemos probado y no nos permite la construcción así, ya que siempre al crear un application sensor profile, por defecto van las 2 reglas implicit que te obligan a permitir todo o bloquearlo todo, con lo cual los siguientes grupos no son considerados, sólo considera lo que tiene el primer grupo en el que valida.

¿No hay posibilidad de eliminar estas reglas implicit?

Re: Application Control:Usuario en multiples grupos

Publicado: 30 Ago 2013, 18:56
por gabyrossi
Hola, no no se pueden eliminar...

porque tantos grupso?
como recomendacion no hagas tantos grupos con tantas exepcion, trata de ser mas general... porque luego se te complicara para las exepciones y troubleshooting.

saludos.
Todos los horarios son UTC+02:00
Página 1 de 1

Desarrollado por phpBB® Forum Software © phpBB Limited

Traducción al español por phpBB España