El FSAE no actualiza la pertenencia de usuarios a grupos

[phoenix241]

Buenas tardes! Tengo un fortinet 111C con el firmware 4.1 MR1, configurado con politicas y con el agente del FSAE 3.5.047 instalado, en un windows server 2003 r2 sp2, veo bien los grupos a traves del directory service, pero el problema esta cuando un usuario que pertenece a un grupo lo cambio a otro grupo, el fsae parece ignorar los cambios, he probado a borrar la cache de usuarios, a actualizar en el fortinet, en directory service con el boton de refresh, a reiniciar el servicio de fsae, a reiniciar el servidor y el equipo cliente, pero sigue en sus 13, y no refresca los cambios. A ver si alguien me puede echar una mano. Gracias.

[gabyrossi]

Holam haber, como tenes armado la policitca???? varios grupos en la politica? si tenes varios grupos y el mimo user esta en 2 o mas grupos... tomar el que esta arriba.

hay timers que modificar en el fsae, y tambien en el fortigate

Tambien te recomiendo instalar la ultima version de 4.0 mr1 y el fasae FSAE_Setup_3.5.047

te recomiendo que leas la documentacion:

[Debes identificarte para poder ver enlaces.]

saludos

[phoenix241]

Buenas Gabyrossi!

La version que tengo del firmware es la 4.0 build0178 (MR1), y la version del fsae es la 3.5.047, la ultima que aparece en la web de fortinet del 24-08-2009. En las politicas el usuario pertenece a varios grupos, pero la mas restrictiva es la primera, pero el problema esta en que si me voy a configurar fsae, clicko en show logon users y miro la pertenencia de grupos del usuario, es ahi donde no me refresca los cambios de grupo, es como si se hubiera cacheado la pertenencia y no se actualizara. He desinstalado el fsae, reiniciado, vuelto a instalar y reiniciado de nuevo, y el usuario sigue mostrando la pertencia al grupo anterior y no al nuevo. Gracias por todo.

[gabyrossi]

hola, y desde el fsae hiciste un clear cache???

[phoenix241]

Si le mando un clear cache y reinicie, el servidor, el puesto. Pero sigue igual. Lo curioso es que me marca que pertenece a un grupo que ya no existe. Y he desinstalado el fsae y vuelto a instalar, he mirado lo timers y estan bien.

[gabyrossi]

Hola, tienes solo un dc????????????? instalaste el agente y el collector?

saludos

[phoenix241]

Hola Gabyrossi! Gracias por contestarme, sí, solo tengo un controlador de dominio, y en el mismo instale el FSAE y collector agent, y todo ok. Pero no actualiza. Comentar que, tanto el server como los puestos, los estoy usando desde maquinas virtuales vmware, pero no creo que eso influya, no? Gracias por todo.

[phoenix241]

Bueno pues parece que ya lo he solucionado, el problema estaba en que vaciaba la cache del user, y no la cache group que esta en la pagina principal de configurar fsae, al final borrando la group cache se ha solucionado. Muchas Gracias por todo.

[gabyrossi]

Hola, exactamewnte eso era lo que te preguntaba si habias hecho. En la nueva version del fsae tiene esa opcion.

Buenisimo

saludos
Gabriel

[ecarreon]

Hola a todos, gracias a su respuesta anterior pude resolver un problema que tenía. Pero ya en producción hay que hacer esto manualmente?. No se si me explique. Ahorita tambien estoy haciendo pruebas con equipos virtuales, presionando el botoncito me jalo con maquinas virtuales con diferentes users de mi Domain Controller pero ya activando el server con fortigate en la red funcionando habría que presionar ese boton en el FSAE constantemente? . Espero me puedan orientar. Saludos.

[ArielMB]

hola a todos, yo pregunto lo mismo que pregunto ecarreon, eh adquirido un FortiGate 80C Bundle y con el FSAE cuando cambio de grupo a un usuario no refresca a menos que le de clic a "Clear Group Cache" y "Clear User Cache" lo cual es algo molesto cuando esta en produccion ya que los usuarios tiene que bloquear el equipo y volver a loguearse porque sino se quedan sin internet. y la verdad es muy molesto.
Alguien tiene alguna solucion con esto?

[yr10n]

Buenas estimados, no es que no actualize, simplemente es que talves no tengamos un correcto refresco de las GPO en nuestro domain controller, para evitar estos problemas siempre se tiene que dar un mantenimiento logico al Active Directory. hay varias herramientas en internet.

Otro es probar usando el comando gpupdate /force parece raro por que este comando es para politicas de restricciones o configuraciones en los usuarios no cuando los cambias de grupo, pero por alguna razon logra actualizar algunos datos.

Tengo una consulta???....necesariamente tienen que ser grupos de usuarios??...tengo la siguiente estructura...un grupo y dentro de ellos varios grupos de usuarios, el problema es que no me esta leyendo a los usuarios no los reconoce por estar dentro de otro grupo.

a alguien le ha pasado eso? me ayudan?

[gabyrossi]

hola, como estas? usae el fsae en modo advanced.(ldap)

saludos

[JSRAMIREZ]

Hola a todos.

Les pido ante mano disculpa por la pregunta que les are. pero tengo ese mismo problema con el equipo que tenemos en la empresa pero como soy nuevo trabajando con este equipo y como no fui el que lo configuro no encuentro donde vaciar el cache del usuario y el grupo.

Cambie de lugar en el servidor lo pase de un grupo y lo pase a otro que tiene mas privilegio y en el FortiGate me sale que pertenece a otro grupo que no es el que tiene ahora. Les agradeceré la información.

Saludos.

Javier SR.

[gabyrossi]

hola, el borrado de cahce de grupos lo haces en el server de ad donde esta instalado el fsae (fsso), dentro de su configuracion.

saludos