Problemas con Politcas y FSAE

[Jorge Horeb]

Que tal les comento que he realizado la integración de un Fortigate 100-A con mi active Directory a través del FSAE. El problema es que al implementar las políticas correspondientes los usuarios no pueden navegar. Les describo la configuración actual:
En mi dominio he creado 3 grupos de seguridad: Internet Avanzado, Internet Intermedio e Internet Básico. Cada uno de los usuarios del dominio ya fue distribuido en alguno de estos 3 grupos. Configuré un filtrado en el FSAE Collector para que solo envíe al Fortigate esos 3 grupos que son los que realmente me interesan.
Del lado del Fortigate ya puedo ver perfectamente esos grupos como se muestra en la imagen:

ftg-1.JPG

He realizado los Grupos de Active Directory y les he asignado su profile correspondiente:

ftg-2.JPG

En la parte de las Políticas, la primera de ellas es para el trafico a través de una VPN punto a punto, las siguientes 3 son para cada grupo de los usuarios de active directory, sin embargo no están funcionando ya que los usuarios no pueden navegar.

ftg-3.JPG

¿La politica del tunel VPN estara afectando a las demas politicas? Espero y me puedan orientar ya que en verdad necesito mucho terminar esta configuración.

Saludos

[gabyrossi]

Hola, solamente tendras una sola politica de navegacion autenticando los 3 grupos juntos en la msima.

saludos
Gabriel

[Jorge Horeb]

Hola Gabriel, ¿entonces te refieres a que en una sola politica se deben agregar los 3 grupos?, si es así ¿entonces no podré aplicar distintos profiles para cada uno de los grupos? ¿tendrá que ser un solo profile para los 3 grupos?. O bien ¿que tendría que hacer para que cada grupo tenga distintos niveles de acceso a internet?

Gracias.

[gabyrossi]

Hola, si, solo una politica y dentro los 3 grupos.
Cuando creas los grupos, tenes que darla un profile a cada uno.Ahi tendras los filtros para cada uno de ellos


saludos

[Jorge Horeb]

Ok, voy a modificar la política y haré pruebas. Te aviso del resultado.

Gracias.

[Jorge Horeb]

Hola Gabriel, te comento que ya integré los 3 grupos en una sola política sin embargo los usuarios no están siendo autenticados ya que no pueden navegar solo hasta que activo la opción de Guest. Revisando el log del Fortigate me encontré con el siguiente error:

FSAE-auth - AD group user failed in authentication

te comento que el Firmware que tengo es el siguiente:

Fortigate-100A 3.00,build0416,070821, y la versión del FSAE es la 3.0.0.015

He revisado una y otra ves la configuración en el Fortigate y en el FSAE y creo que está bien, sin embargo no funciona . ¿Tienes idea del porque no se pueden Autenticar los usuarios?.

Saludos.

[gabyrossi]

Hola, como estas. Yo lo que haria seria actualizar el firmware e intslar otra version de fsae.

lee el releanse note para ver los pasos que tienes que hacer.

Te recomiendo llevarlo al mr6 patch6 o mr7 patch7
Para llegar hasta ahi vas a tener que hacer varios pasos, haciendo backups- Y tendras que configuirar nuevamente el ips y vpn ssl si es que usas.


saludos
gabriel

[jencisob]

Excelente amigo Gabriel,
Gracias a tu ayuda solucione mi problema con multiples grupos de active directory y los filtros.

Un abrazo.

[gabyrossi]

Hola, barbaro.

suerte

saludos

[edgarg71]

Que bien que lo solucionastes, pero quémodificación hizo?? actualizó el Firmware????
Yo tambien tengo un problema similar pero autenticado a un server LDAP y probé hacer una sola política con 3 grupos de usuarios más un grupo que es donde está el LDAP pero cuando un usuario de uno de los otros grupos se autnetica: o no le acepta el usuario/contraseña o cae en el perfil que tiene el grupo del LDAP.

Será tambiénun problema de Firmware???? El equipo es un Fortigate 300A 3.00 ,build0480,070330.

Saludos

[gabyrossi]

Hola, como estas? Como configuraste el ldap ?????

Aca te dejo un link donde se configuro un ldap para que no tengan que poner como usuario nombre de usuario y dominio.

viewtopic.php?f=6&t=797&p=4103&hilit=ldap#p4103

saludos
Gabriel