Comunidad FORTIGATE.es

Buenas tardes! tengo el siguiente inconveniente.

Tengo 2 DC con el agente instalado en modo DC Agent, con 10grupos de AD agregados, funcionando correctamente.

El tema es que cree un nuevo grupo en AD, lo agregue en el cliente FSSO en grupos filtrados (como el resto) pero no me aparece en el fortigate.

Ejecute el comando:

exec fsso refresh

y me trajo los grupos de AD pero no funciono... que puedo hacer?

Hola,

La conexion entre el Fortigate y tu servidor AD como lo realizaste?.

Utilizando LDAP?, si es con LDAP puedes revisar este link y valida que lo has configurado segun la recomendacion de Fortinet: [Debes identificarte para poder ver enlaces.]

Saludos.

Hola, no mediante autenticacion directa del SSO del forti con el agente, no estoy usando LDAP.

La conexion entre el Forti y los agentes es correcta.

Los agentes están en modo estándar!

Ok valida en los logs tanto del Fortigate como del FSSO y revisa que eventos obtienes:

- Fortigate: Log & Report > User Event
- FSSO: View log Events

Revisa la conectividad del agente colector y el Fortigate:
En lugar de hacer el execute fsso refresh tambien puedes realizarlo desde : Monitor > Firewall User Monitor

Hola Makco10, gracias por la respuesta.

Verifique los logs, en el fortigate, no hay nada raro, en el FSSO, vi que ayer cuando ejecute el exec fsso refresh, el fsso le envió TODOS los grupos del AD :

Group list send to FGT, count:541

Siendo que en la lista de grupos del FSSO, sólo hay 11 grupos.

Entonces revise en el Forti, y veo que en: User & Device -> Single Sign-on, agrego 256 grupos (el maximo admitido), cuando deberia tener solo 11.... encima no encuentro forma de borrar algunos, la unica opcion es borrar todos los grupos y volver a agregar solo los 11 que necesito? no se los envia el FSSO?

Por otro lado, luego de correr :

diagnose debug enable
diagnose debug authd fsso server-status
Obtuve:
Server Name Connection Status Version
----------- ----------------- -------
XXXX.XXXXXXXXX connected FSSO 5.0.0256


Hay algo que pueda hacer para solucionarlo? o restauro el backup del forti y agrego el grupo nuevo de AD por CLI en Fortigate?

Gracias

El agente de FSSO te permite configurar un filtro, que controla activamente qué información de inicio de sesión de usuario se envía a cada FortiGate. Por lo que, puedes definir qué grupos pasará el agente recolector al FortiGate.

Es decir puedes seleccionar unicamente los grupos que deseas monitorear la informacion de logon y asi evitar enviar todos y que no lleguen los que realmente deben ser monitoreados.

Esto lo configuras desde el FSSO en la parte de Set Group Filters.

Todos los Fortigates Low-End soportan hasta 256 grupos luego ya depende de cada modelo.

Importante que si cambias de modo de Standard a Avanzado o viceversa tendras que configurar nuevamente este filter.

Una vez realices esta configuracion valida nuevamente los logs y revisa que se envian solamente la cantidad de grupos seleccionados.

Saludos.

Desde el cliente FSSO, en Set Group Filters, esta como default filters, los 11 grupos que quiero filtrar.

No entiendo porque envia todo, que puedo hacer? porque si elimino la tabla, fuerzo el refresco de grupos (exec fsso refresh) me va a volver a traer todos los grupos....

El FSSO está configurado en modo standard...

Si algo en la config no esta bien, si revisas en User & device > Single Sign-On en la parte de view cuantos grupos te aparecen?

En esta parte tienes que tener el agent collector tambien en modo standard.

La otra opcion seria que pases a modo avanzado: [Debes identificarte para poder ver enlaces.]

Saludos.

Hola, mil disculpas la demora en la respuesta! Verifique el agente y tenia cargado el nro de serie de un fortigate anterior. Lo corregi, y listo los grupos correctamente. Gracias!

Hola,

Pequeño detalle que bueno que lograste resolver.

Saludos.