Comunidad FORTIGATE.es

Buenas tardes, es mi primer mensaje en el foro. Estuve investigando bastante en el tema, paso a explicar primeramente que es lo que estoy necesitando y luego como pienso encararlo.

Actualmente el fortigate esta vinculado contra el dominio, para luego validar los las credenciales de los usuarios que ingresan en el forticlient. Es una VPN-SSL.

El problema es que todos los usuarios acceden con el mismo perfil default.

He leído que activando las características Endpoint Control y Multiple Security Profiles es posible hacer algo como lo que necesito.

Requisitos:
1) Los usuarios deben validarse con credenciales de el dominio como lo hacen actualmente
2) Necesito crear varios perfiles con distintas caracteristicas.
3) Agregar estos perfiles a distintos grupos.
4) Que ventajas tiene EMS? He leído que con EMS puede generarse un ejecutable para cada perfil y pre-asignarle las caracteristicas. Pero, no es lo ideal que usen todas las personas el mismo ejecutable oficial y las caracteristicas (según tengo entendido, guardadas en un XML) se descarguen y/o actualizen cuando la persona se conecta a la VPN?

Gracias.

Hola,

No entendí, ya resolviste?, cuando dices que el perfil es el default te refieres al perfil de forticlient en el fortigate?, porque este puedes crear diferentes via gui.

Nos avisas.


Saludos.

Buenas tardes, gracias por la resuesta.

No lo he resuelto aún.

Exactamente, me refiero a los perfiles que se crean en FortiClient Profiles.

Paso a explicar mas detalladamente cuales son los puntos que necesito asegurarme.

- Trazabilidad:
Actualmente los usuarios se estan conectando a la VPN SSL mediante el FortiClient, el cual valida el usuario contra el LDAP indicado.
Cada usuario de LDAP se encuentra dentro de un grupo en el fortigate, y cada grupo tiene un perfil asignado.

Cada grupo esta asignado a un VPN_Portal por lo cual desde allí indicamos que los usuarios pertenecientes a ese grupo solo tengan acceso a X subred.
El problema con esto, es que los LOGs nos muestran a que grupo pertenece el usuario, pero el usuario lo muestra como ANONYMOUS.

- FortiClient:
1) Es posible indicar que los clientes que se conecten cuenten con una version minima de Forticlient? Segun tengo entendido desde Minimun FortiClient se especifica esto.

2) Es posible forzar la actualizacion de la DB antes/despues de que el cliente se conecte a la VPN?

3) Hay manera de correr un analisis obligatorio sobre la PC del cliente antes de que se conecte a la VPN?

4) Para deshabilitar opciones que no queremos que el usuario modifique, solo es posible desde el Forti EMS? Sé que tambien se puede crear un ejecutable embebiendole un XML, o que tambien es posible restaurar una CFG;
Pero las opciones no son validas en nuestro caso ya que es muy dificil obligar al cliente a descargar cierto ejecutable, y menos que menos obligarlo a restaurar una CFG antes de conectarse.
Ciertamente si podríamos obligar al usuario a descargar cierto ejecutable, pero deberiamos asegurarnos que desde el Fortigate valide que el usuario cuente con la version provista por nosotros.

Muchas gracias por la ayuda!