FSAE guest users en firmware 3.0 Mr7 Patch 6

[phoenix241]

Buenos dias! Mi consulta es la siguiente, tengo un fortinet 60 con la firmware 3.00 MR7 Patch 6, y estoy configurado las politicas a traves del fsae, el problema llega cuando tras crear los grupos restringidos y los grupos sin restrigir (domain users), voy a crear otro grupo para que puedan navegar los usuarios que no pertenecen al dominio, y no encuentro el grupo que aparece por defecto en directory service FSAE Guest Users de la version 4.0, con lo que no se como hacer para que cualquier persona que se conecte a mi red sin pertenecer al dominio (con un portatil a traves de la wifi, por ejemplo), pueda navegar sin que le pida credenciales. Gracias.

[gabyrossi]

Hola, como estas en 3.0 mr7 el profile guest aparece en la politica de autenticacion.

saludos
Gabriel

[phoenix241]

Buenas tardes, a ver si consigo explicarme mas correctamente, he creado un user group de tipo directory service, le he llamado internet_restricted_group, y le he aplicado el protection profile de block_yahoo al grupo de seguridad internet_restritcted_group (Imagen user group.jpg). Despues me he ido al firewall y he creado una politica que de internal a wan1 hagan nat y he marcado autentication, y he marcado fsae, he selecionado el internet_restricted_group y en guest profile he selecionado unfiltered y le he dado a ok (Imagen firewall policy). La he puesto por encima de la que viene por defecto, que es de internal a wan1, nat. Si lo dejo asi no navega nadie. Y no se como hacer para que los demas pueden navegar si tener restriciones. Muchas Gracias.

[gabyrossi]

Hola, si es asi, es que nadie tenes autenticado. los que no esten en el grupo internet_restritcted_group, saldran con el profile guest.

para ver si hay qgente autenticada los comandos son:

#diagnose debug enable
y luego

#diagnose debug authd fsae <opciones>
las <opciones> son:
- clear-logons limpia información de logon
- list lista logons actuales 'vivos'
- refresh-groups refrescar los mapeos de grupos
- refresh-logons re-sincronizar la base de datos de logons
- server-status muestra status de la conexion con server FSAE
- summary resumen de los logons actuales

[phoenix241]

Buenas de nuevo, he ejecutado los comandos y me aparece una lista con usuarios con ip, nombre del usuario, grupos, y al final me dice total number of user logged on: 29, con lo que interpreto que si estan autenticados, no? Por si caso he aplicado la politica y he hecho logoff en el servidor y he vuelto a hacer logon y ya me aparece mi usuario en la lista pero sigo si poder navegar salvo si deshabilito la politica de firewall que he creado, que entonces si navego yo y todos los usuarios.

[gabyrossi]

Hola, como estas? Ok, el server de dns, hacele una policy sin autenticar arriba del todo.
luego que venga la politica autenticada con el grupo de user que estan logueados.

saludos

[phoenix241]

Buenos dias! Ya he creado una politica de la internal a la wan1, con nat para el servicio dns, y la he puesto arriba del todo, tampoco funciona, de hecho yendo por ip directa tampoco funciona, y si habilito la politica de internet restricted group, no va ni el ping, no resuelve el dns, pero tampoco el icmp a ip externas. Gracias por todo y saludos.

[gabyrossi]

hola, esta saliendo por esa politica? n sesiones ves que tal ip, pasa por la politica esa?
en el server ad, instalaste el agente y el collector?
mm nose me ocurre que mas puede pasar.

si queres por privado me das acceso de lecutara al equipo y lo reviso.

saludos
Gabriel

[phoenix241]

Buenas Gabriel! En el server ad, si he instalado el agente y el collector del fsae, he mirado en el log de memoria, y cuando habilito la politica aparece un monton de mensajes con el siguiente texto "AD group user (nombre del usuario en cuestion) failed in autentication". En el campo action pone FSAE-auth. Saludos.

[gabyrossi]

Hola, reboteaste el server de ad, cuando instalaste el agente y el collector?

saludos

[phoenix241]

Si lo reincie como pide el instalador, de hecho con el comando diagonse debug auth fsae server status, me daba que la conexion estaba ok.

[phoenix241]

Buenos dias, Gabriel! Al final lo solucione, en vista de que no conseguimos que fsae autenticara, de ninguna forma, ni con 3mr7 patch6, ni con 3mr6 patch6, ni fsae 3.5.047, ni con la 032, ni con la 022, al final puse ip fijas a los pcs que queria restringir y en la regla de firewall lo acote por ip de origen. Y sin problemas. Muchisimas gracias por haberme ayudado y haberme enseñado algunas cosas. Saludos.

[gabyrossi]

Hola, lo solucionaste pero no usando fsae con ad.

al verdad es muy extraño lo que pasa ahi.
saludos
Gabriel

[yr10n]

Recuerda que el FSAE se tiene que instalar con una cuenta que tenga privilegios sobre el arbol de dominio, otra es que no cambies la contraseña de la cuenta con que instalaste el FSAE, otra mas, debes de reiniciar el server 2 veces, otrita mas, en el FSAE debes de agregar el serial del equipo y una descripcion y filtrar los grupos que deseas que sean revisados para los bloqueos.


la politica de FSAE por lo general va al ultimo y por encima de estas las politicas mas puntuales, no generales, para evitar fallas agrega al gurpo guest ya que algunos usuarios seran vistos como guest en un principio. la version del FSAE tiene que ser la misma (recomendado) con la que salio el build del firmware del fortigate.

[gabyrossi]

hola, el fsae se instala con un usuraio que tenga privilegios para instalar soft en el sistema operativo, no sobre el arbol de dominio. eso es para cuando usas ldap.


saludos