Página 1 de 1
Duda con FSAE
Publicado: 17 Oct 2008, 00:47
por superforti
Hola a todos, soy nuevo en el foro. Estoy pensando en realizar la autentificacion con FSAE pero tengo algunas dudas sobre su funcionamiento. Veo que cuando creas la conexion se trae todos los usuarios al Forti ¿pero los usuarios de todas las OU sin ningun orden? ¿cuando se crean usuario nuevos en AD se actualizan en el Forti? ¿se trae los grupos o solo los usuarios?. Gracias
Re: Duda con FSAE
Publicado: 17 Oct 2008, 12:12
por cmendoza
Hola superforti.
Cuando configuras los agentes en las máquinas servidoras del directorio activo, tienes que especificar que grupos del directorio activo quieres monitorizar. Luego, puedes asignar "protection profiles" diferentes para cada grupo del DA.
Por ejemplo, puedes hacer tres grupos: INET_Total, INET_Filtrado, INET_soloURLSdefinidas y asignar a cada usuario SOLO a uno de los grupos (o ninguno y no tendría salida a INET).
Luego el FG aplica las directivas a nivel de IP de las máquinas. Si un usuario X pertenece al grupo INET_Total, la IP desde la que inicie sesión tendrá acceso a INET con el "Protection profile" definico en INET_Total.
Un saludo.
Re: Duda con FSAE
Publicado: 20 Oct 2008, 16:17
por superforti
OK, ¿como es el proceso de monitorización de los grupos? ¿cada vez que un usuario pase por un regla, el forti consulta con AD? El problema es que tengo los Controladores de Dominio de AD en una sede remota
Re: Duda con FSAE
Publicado: 20 Oct 2008, 18:32
por gabyrossi
hola, como estas? y cual es el problema? cuando te logueas en la pc tambien hace lo mismo, o no?
saludos
Gabriel
Re: Duda con FSAE
Publicado: 20 Oct 2008, 20:33
por cmendoza
Hola.
Os paso un enlace a una presentación en PowerPoint sobre como funciona el FSAE... echadlo un vistazo y me decís si teneis alguna duda. [Debes identificarte para poder ver enlaces.]
Hay dos tipos de Agente para el FSAE:
* Un tipo de agente, que se ha de instalar en TODOS los controladores de Directorio Activo y que se encarga de monitorizar los inicios de sesión de los usuarios.
* El otro tipo de agente se encarga de recoger la información del primer tipo de agente, además de ofrecer dicha información al Fortigate.
Resumen de funcionamiento del FSAE:
1) Ningún usuario se valida en el FG.
2) Los usuarios se validan en un controlador de Dominio.
3) Todos los controladores de dominio tienen un agente que monitoriza la validación de usuarios según el grupo al que pertenecen y la IP desde la que se validan.
4) Ese agente manda los datos a un segundo agente que es el que se comunica con el Fortigate.
5) El Fortigate mantiene una lista de usuarios e IPs que actualiza en tiempo real según la comunicación con el agente de Fortigate.
Un saludo