Comunidad FORTIGATE.es

Web NO OFICIAL de soporte en español
https://www.fortigate.es/

Duda modo polling (agent based - agent less) Fsso

https://www.fortigate.es/viewtopic.php?t=6446

Página 1 de 1

Duda modo polling (agent based - agent less) Fsso

Publicado: 15 Ago 2017, 19:48
por daac84
Hola, buen dia , quisiera su ayuda con una duda , he leído documentación pero no veo claro , necesito saber si cuando no se puede instalar dc agent , si no únicamente el collector agent (desde alli se realizara el monitoreo de los dc) , en este caso en el fortigate debo realizar la configuración en single sign on como Fortinet Single sign- on agent y adicionar la ip y contraseña del collector ? , no habría necesidad de configurar alguna opción de ldap ?

Sobre el fortigate la opción del poll active directory server es para el modo polling conocido como agenless únicamente?


Gracias

Re: Duda modo polling (agent based - agent less) Fsso

Publicado: 16 Ago 2017, 19:08
por gabyrossi
Hola, si instalar en un server collector agent en modo polling (porque no se puede instalar el agente (dll) en los DCs). En el fortigate se configura el fsso del modo "Fortinet Single-Sign-On Agent con la ip del server donde se instalo el collector y la password configurada dentro del fsso.
el ldap se puede usar tambien. es recomendable.

saludos

Re: Duda modo polling (agent based - agent less) Fsso

Publicado: 13 Sep 2017, 15:33
por shoki666
Te recomiendo primero, darle forma a tu pregunta...


con respecto al DC Agent, lo ideal para mi y después de implementar en varias organizaciones, es ... instalar el DC Agent, posteriormente Configurar el Password, abrir los puertos de Firewall y listo....

Posterior a ello, configurar en el FTG, LDAP al DC, esto solo se hace una vez poro dominio y de preferencia en tu DC con Roles FSMO (necesitas leer para poder comprender el porque, de lo contrario omitelo y realizalo, sin dudarlo funcionara), seguido de ello, Configurar el FSSO para cada controlador o para cada DC Agent instalado, es decir uno por uno y no todos en una sola configuración, esto porque el Failover de peticiones en LDAP para el FSSO no funciona, he probado todas las versiones y ninguna funciono correctamente aun con las mejores practicas y 5 tickets a fortinet, tan sencillo como poner la IP, el password, seleccionar LDAP, buscar y marcar los grupos para filtrar y listo.


Ultimo paso agregar en los grupos locales creados previamente, estos nuevos grupos remotos del FSSO con validación LDAP y eso es todo.

A mi parecer y con este proceso he tenido los mejores resultados en mis implementaciones....
Todos los horarios son UTC+02:00
Página 1 de 1

Desarrollado por phpBB® Forum Software © phpBB Limited

Traducción al español por phpBB España