Página 1 de 1
FSSO timout en la sesiones
Publicado: 12 Abr 2017, 06:24
por ddacosta
Buenas noches a todos.
Tengo un 100D configurado con FSSO contra un DC 2012 R2 con agente configurado modo Polling.
Los usuarios autentican sin problemas pero luego de 5 minutos de inactividad, el usuario deja de navegar.
En el Log&Report --> User aparece lo siguiente: "User from 10.10.10.122 was timed out".
Si cierro sesión del equipo y vuelvo a iniciar todo funciona correctamente.
He chequeado en #config user setting que el valor set auth-timeout está en 480 y #auth-timeout-type está en iddle
Alguien me podrá dar alguna otra idea?
Muchas gracias.
Saludos,
Diego.
Re: FSSO timout en la sesiones
Publicado: 12 Abr 2017, 16:40
por makco10
Hola,
que version de Forti OS usas?
Re: FSSO timout en la sesiones
Publicado: 12 Abr 2017, 16:56
por ddacosta
makco10 escribió: ↑12 Abr 2017, 16:40
Hola,
que version de Forti OS usas?
Perdón que no lo especifiqué en el mensaje original. Versión 5.2.9
Abrazo y gracias.-
Re: FSSO timout en la sesiones
Publicado: 12 Abr 2017, 21:21
por Garsa
Hola ddacosta,
Ese timeout esta configurado en el Collector Agent en el DC bajo la session timers. Puedes postear un screenshot de la configuration del agent?
El "set auth-timeout está en 480" bajo users settings, es para sesiones locales al firewall y no FSSO.
saludos!
Garsa
Re: FSSO timout en la sesiones
Publicado: 12 Abr 2017, 21:23
por gabyrossi
hola, es muy importante que tengas abierto en todas las pc los puertods 139 y el 445 como tambien habilitado el servicio "registro remoto" siempre.
[Debes identificarte para poder ver enlaces.]
saludos
Re: FSSO timout en la sesiones
Publicado: 12 Abr 2017, 22:54
por ddacosta
Garsa escribió: ↑12 Abr 2017, 21:21
Hola ddacosta,
Ese timeout esta configurado en el Collector Agent en el DC bajo la session timers. Puedes postear un screenshot de la configuration del agent?
El "set auth-timeout está en 480" bajo users settings, es para sesiones locales al firewall y no FSSO.
saludos!
Garsa
Gracias por la respuesta, va captura del Agent
Re: FSSO timout en la sesiones
Publicado: 12 Abr 2017, 22:59
por ddacosta
gabyrossi escribió: ↑12 Abr 2017, 21:23
hola, es muy importante que tengas abierto en todas las pc los puertods 139 y el 445 como tambien habilitado el servicio "registro remoto" siempre.
[Debes identificarte para poder ver enlaces.]
saludos
Hola Gaby, gracias como siempre por tus aportes.
Había pasado por este artículo y revisamos los equipos y estaban OK, de hecho el Status de todos los usuarios logueados aparecen como "OK".
Abrazo y gracias!
Diego.
Re: FSSO timout en la sesiones
Publicado: 13 Abr 2017, 21:41
por Garsa
Gracias Diego,
has tratado de incrementar el Workstation verify Interval? (este verifica si el usuario aun tiene la sesion iniciada en el equipo)
Esto pasa con varios usuarios?
Por casualidad el usuario en cuestion esta trabajando en un Terminal Server?
saludos,
Garsa
Re: FSSO timout en la sesiones
Publicado: 15 Abr 2017, 23:56
por ddacosta
Garsa escribió: ↑13 Abr 2017, 21:41
Gracias Diego,
has tratado de incrementar el Workstation verify Interval? (este verifica si el usuario aun tiene la sesion iniciada en el equipo)
Esto pasa con varios usuarios?
Por casualidad el usuario en cuestion esta trabajando en un Terminal Server?
saludos,
Garsa
Garsa querido, buenas tardes, antes que nada felices pascuas para tí y toda la gente del foro.
Te respondo en orden.
No he modificado la opción de "Workstation verify interval" podría probar y en ese caso, cuál sería el intervalo de tiempo a setear?
Con respecto al usuario, me pasa si cuándo se conecta a trabajar de forma remota al equipo físico.
Abrazo y gracias por la respuesta.
Saludos,
Diego A.
Re: FSSO timout en la sesiones
Publicado: 20 Abr 2017, 20:03
por Garsa
Gracias Diego,
Disculpa la demora para contestar.
El "workstation interval" seria solo para probar.. puedes incrementar el valor a 10 o 15, y verificar si luego de este lapso la sesión finaliza y el usuario deja de navegar.
Ahora, con respecto al Terminal Server, debi haber preguntado otras cosas pero vamos a ver
- es un TS al cual varios usuarios se conectan simultáneamente? (por que is es asi, hay un agente o configuración extra para este escenario)
- o el usuario solo se conecta a otro PC que solo el usa? En este caso, se conecta usando la misma cuenta de usuario u otra?
- la capacidad de navegar la pierdes en el equipo local o el remoto?
Si es la 2nda. y el usuario se conecta con otra cuenta, lo que he observado yo, es que el evento de inicio de sesión del equipo local se actualiza con el evento del equipo remoto. Esto en realidad es mas algo de Microsoft que de Fortinet. El Colector Agent básicamente ve que en el equipo local ya "user1" no esta conectado sino "user_remoto" y actualiza la entrada. Esto le pasa al equipo local por que hay un evento de inicio de sesion en AD que básicamente dice que "usuario_remote" se conecto desde el equipo local y el Collector Agent lo ve.
espero no estar confundiéndote,
saludos!
Garsa