Problemas con politicas AD

[carlos22rs]

Hola,
Tengo un Fortigate 200A, con firmware Fortigate-200A 3.00-b0750(MR7 Patch 7). La version del FSAE es FSAE_Setup_3.0.032.exe.
Tengo 2 grupos creados en active directory, y configurados en el firewall, y con 2 perfiles de proteccion diferentes, uno mas restrictivo que el otro. Tengo puestos los 2 grupos en la politica del firewall con la salida a internet.
El problema es que me coge la politica restrictiva para los 2 grupos. Uno de los grupos es VIP, con un perfil de proteccion que permite casi todo, con unos pocos usuarios como el administrador, y aun asi me coge el perfil de proteccion mas restrictivo. Que puede estar pasando?
Gracias.

[gabyrossi]

Hola, como estas? En la politica esta usando guesl profile?

desde el fortigate, ves los usuarios autenticados?

Si corres este comando en la consola, que te muestra?
dia deb authd fsae list


En el AD, los usuarios no estan en los 2 grupos, no?

saludos

[carlos22rs]

Hola,
En la politica de salida a internet tengo puesto los 2 grupos (Internet VIP y Basico) y activado el guest profile con un perfil de Internet Basico.
Como veo los usuarios autentificados en el fortigate?
Al ejecutar el comando me muestra lo siguiente:
IP: 192.168.0.111 User: ADMINISTRADOR Groups: SALUSXXI/USUARIOS DEL DOMINIO+SALUSXXI/ADMINISTRADORES DE ORGANIZACI?ALUSXXI/PROPIETARIOS DEL CREADOR DE DIRECTIVAS DE GRUPO+SALUSXXI/ADMINS. DEL DOMINIO+SALUSXXI/EXMERGE+SALUSXXI/INTERNET VIP+SALUSXXI/ADMINISTRADORES DE ESQUEMA+SALUSXXI/USUARIOS DEL DEPURADOR+SALUSXXI/EPO USER GROUP+SALUSXXI/ADMINISTRADORES+SALUSXXI/USUARIOS DE ESCRITORIO REMOTO+SALUSXXI/USUARIOS

IP: 192.168.0.112 User: JMASSEGU Groups: SALUSXXI/USUARIOS TRS+SALUSXXI/INTERNET BASICO+SALUSXXI/USUARIOS DEL DOMINIO+SALUSXXI/ISOFT TERMINAL+SALUSXXI/USUARIOS

IP: 192.168.1.188 User: ADMINISTRADOR Groups: SALUSXXI/USUARIOS DEL DOMINIO+SALUSXXI/ADMINISTRADORES DE ORGANIZACI?ALUSXXI/PROPIETARIOS DEL CREADOR DE DIRECTIVAS DE GRUPO+SALUSXXI/ADMINS. DEL DOMINIO+SALUSXXI/EXMERGE+SALUSXXI/INTERNET VIP+SALUSXXI/ADMINISTRADORES DE ESQUEMA+SALUSXXI/USUARIOS DEL DEPURADOR+SALUSXXI/EPO USER GROUP+SALUSXXI/ADMINISTRADORES+SALUSXXI/USUARIOS DE ESCRITORIO REMOTO+SALUSXXI/USUARIOS

La IP 192.168.0.111 es la del controlador de dominio, la 112 es un servidor al que los usuarios se conectan y la 188 es la de mi PC.
Y los usuarios no estan en los 2 grupos que tengo configurados.

Gracias.

[carlos22rs]

Hola Gabriel,

Parece que el problema es que solo coge la politica el usuario Administrador, y todos los demas usuarios deben estar cogiendo el Guest profile.
Espero que puedas ayudarme.
Gracias.

Saludos

[gabyrossi]

Hola, como estas? si cuando haces dia deb authd fsae list y no te muestra los usuarios es porque no estan autenticados.

solo tenes un server de ad¿
instaalste e collector y el agente??
reiniciaste el server¿

como el fortigate no ve los demas usuarios autenticados, todos los usuarios toman el profile del guest profile de la politica.

saludos

[carlos22rs]

Hola Gabriel,
Muchas gracias por tu ayuda. Ya esta solucionado.
He instalado en otro server AD el collector y ahora si que autentifican.

Saludos

[gabyrossi]

Hola, ok barbaro.

saludos

[Jorge Horeb]

Hola Carlos, ¿entonces tenias un conflicto por tener el collector y el DC agent en el mismo controlador?.

En el nuevo servidor donde instalaste el collector ¿tambien tienes instalado el DC agent, o solo tienes instalado el collector? ¿tambien es controlador de dominio, o solo es un servidor miembro de tu dominio?

Saludos

[gabyrossi]

Link para leer sobre FSAE:

Con fsae 4.0 :
[Debes identificarte para poder ver enlaces.]

Con fsae 3.0:
[Debes identificarte para poder ver enlaces.]

saludos