Fortigate Authentifizierung SSO

Florian961988 (Level 1) - Jetzt verbinden

04.12.2018 um 16:16 Uhr, 1638 Aufrufe, 29 Kommentare

Hallo,

wir haben eine Fortigate 100D mit der Version 6.0.3 mit 2 WAN Anschlüssen genutzt!

die ist mit dem AD verbunden , dort habe wir die Gruppen Surfen_voll, surfen_beschränkt und surfen_deny

Es gibt dort IPv4 Policy die besagten

Internal -> wan1 (surfen_vollzugriff) (ssl-> certififcat-inspection)
Internal -> wan1(surfen_beschränkt) (ssl-> certififcat-inspection)
Internal -> wan1(kein-auth)

Nun ist das so, dass es benutzer gibt die in der gruppe_beschränkt sind und benutzer im vollzugriff

Jetzt ist passiert, dass sich einige Benutzer nicht authentifiziert haben und in die 3 Regel reingefallen sind und ich verstehe nicht wieso und selbst ein Tag später kann ich diese Benutzer nicht im Firewall Monitor finden!

Die Zerrtifikate werden über GPO verteilt und sind auf bei den betroffenen Usern auch im Chrome und im Firefox!

Nur wie bekomme ich die Authentifizerierung wieder hin und warum passiert das mitten am Tag gegen 11:00?

29 Antworten

LÖSUNG aqui schreibt am 04.12.2018 um 17:31:49 Uhr
- LÖSUNG Florian961988 schreibt am 05.12.2018 um 08:26:20 Uhr
LÖSUNG 7Gizmo7 schreibt am 04.12.2018 um 20:22:07 Uhr
- LÖSUNG Florian961988 schreibt am 05.12.2018 um 08:26:57 Uhr
  - LÖSUNG Tommy70 schreibt am 05.12.2018 um 09:07:38 Uhr
    - LÖSUNG Florian961988 schreibt am 05.12.2018 um 11:47:29 Uhr
      - LÖSUNG Tommy70 schreibt am 05.12.2018 um 12:56:14 Uhr
        
        LÖSUNG Florian961988 schreibt am 06.12.2018 um 09:37:48 Uhr
        
        LÖSUNG 7Gizmo7 schreibt am 07.12.2018 um 18:46:43 Uhr
        
        LÖSUNG Florian961988 schreibt am 19.03.2019 um 10:58:00 Uhr
        
        LÖSUNG Tommy70 schreibt am 19.03.2019 um 11:30:21 Uhr
        LÖSUNG Florian961988 schreibt am 19.03.2019 um 11:30:26 Uhr
        
        LÖSUNG Florian961988 schreibt am 19.03.2019 um 11:39:40 Uhr
        
        LÖSUNG Florian961988 schreibt am 19.03.2019 um 11:45:48 Uhr
        
        LÖSUNG Tommy70 schreibt am 19.03.2019 um 11:53:43 Uhr
        LÖSUNG Florian961988 schreibt am 19.03.2019 um 12:02:41 Uhr
        
        LÖSUNG Florian961988 schreibt am 19.03.2019 um 12:20:36 Uhr
        
        LÖSUNG Florian961988 schreibt am 19.03.2019 um 12:23:55 Uhr
        
        LÖSUNG Florian961988 schreibt am 19.03.2019 um 12:26:46 Uhr
        
        LÖSUNG Florian961988 schreibt am 19.03.2019 um 14:21:32 Uhr
        
        LÖSUNG Florian961988 schreibt am 19.03.2019 um 15:54:45 Uhr
        
        LÖSUNG 7Gizmo7 schreibt am 19.03.2019 um 21:16:29 Uhr
        
        LÖSUNG Florian961988 schreibt am 20.03.2019 um 07:10:48 Uhr
        
        LÖSUNG Florian961988 schreibt am 20.03.2019 um 07:44:17 Uhr
        
        LÖSUNG Florian961988 schreibt am 20.03.2019 um 07:52:50 Uhr
        
        LÖSUNG Florian961988 schreibt am 20.03.2019 um 08:26:27 Uhr
        
        LÖSUNG aqui schreibt am 20.03.2019 um 10:37:45 Uhr
        
        LÖSUNG Florian961988 schreibt am 20.03.2019 um 10:46:47 Uhr
        
        LÖSUNG Florian961988 schreibt am 20.03.2019 um 11:21:43 Uhr

aqui (Level 5) - Jetzt verbinden

LÖSUNG 04.12.2018, aktualisiert um 17:32 Uhr

Firmware Bug in der Firewall Software ?!
Kannst du das sicher ausschliessen ?

7Gizmo7 (Level 2) - Jetzt verbinden

LÖSUNG 04.12.2018 um 20:22 Uhr

Hi,

Was sagt denn der Fortigate Agent, hat sich der User an AD angemeldet ?

Mit freundlichen Grüßen

Florian961988 (Level 1) - Jetzt verbinden

LÖSUNG 05.12.2018 um 08:26 Uhr

Ich befürchte es ist wirklich ein BUG!

Nur als Beispiel ich bin in surfen_voll und war gestern im Firewall User Monitor aufgelistet, heute bin ich nicht mehr auffindbar, und laufe in die Regel wenn keine authent

Florian961988 (Level 1) - Jetzt verbinden

LÖSUNG 05.12.2018 um 08:26 Uhr

der Agent ist wo den finde ich gerade nicht!

Tommy70 (Level 2) - Jetzt verbinden

LÖSUNG 05.12.2018 um 09:07 Uhr

Hallo,

dort wo du ihn installiert hast. Dieser überwacht die Anmeldungen und gibt sie an die Forti weiter.

Tom

Florian961988 (Level 1) - Jetzt verbinden

LÖSUNG 05.12.2018 um 11:47 Uhr

mmh der ist nie installiert worden

die forti ist per ldap angebunden

ich bin frisch hier und mich wundert das auch etwas!

Bei Sophos habe ich nie so ein Programm installiert!

Es funktioniert ja auch nur werden die Benutzer gekegelt hier mal so eine Nachricht
xxx SSO_surfen_vollzugriff 23 minute(s) and 48 second(s) 192.168.4.164 66.00 MB Fortinet Single Sign-On

Und hier mal ein User EVENT
user xxx removed from auth logon fortigate

Dann geht der User in die Regel "wenn kein auth" und naja dann ist vorbei, schalte ich in der Regel den Webfilter surfen_beschränkt aus geht es wieder, aber das ist ja keine Lösung!

Tommy70 (Level 2) - Jetzt verbinden

LÖSUNG 05.12.2018 um 12:56 Uhr

Hallo,

also für mich klingt die Logmeldung aber schon so als würde die Anmeldung des Users über den Agent abgefragt.
Kannst du mal testen was passiert wenn der User nicht mehr authentifiziert ist und er den PC mit Windows+L sperrt und sich erneut anmeldet?
Und was steht bei der Forti unter "User & Device" > "Single Sign-On"? Ist dort etwas definiert? Falls ja was steht bei Type?

Tom

Florian961988 (Level 1) - Jetzt verbinden

LÖSUNG 06.12.2018 um 09:37 Uhr

Also unter User & Device
ist kein SSO anzufinden

Ich bin aktuell nicht authentifiziert und habe dann mal Windows + l gedürckt und mich dann wieder angemeldet,
es erscheint nichts im LOG!

Die Firmeware - Version ist: v6.0.3 build0200 (GA)

7Gizmo7 (Level 2) - Jetzt verbinden

LÖSUNG 07.12.2018 um 18:46 Uhr

Hi,

Prüfe mal auf dem DC ob dort der FortiAgent läuft. Ist denn auf den Clients der Remoteregistry Dienst gestartet ? Darüber wird nämlich auf dem Client geprüft ob der User noch angemeldet ist.

Mit freundlichen Grüßen

Florian961988 (Level 1) - Jetzt verbinden

LÖSUNG 19.03.2019, aktualisiert um 10:59 Uhr

Also den FortiAgent gibt es nicht!
Woher kriegt man den?

Der Dienst ist natürlich nicht gestartet bei den Clients bzw. bei denen die ich gesehen habe!

Tommy70 (Level 2) - Jetzt verbinden

LÖSUNG 19.03.2019 um 11:30 Uhr

Hallo,

den Agent kannst du auf der Supportseite von Fortinet downloaden.

Tom

Florian961988 (Level 1) - Jetzt verbinden

LÖSUNG 19.03.2019 um 11:30 Uhr

Auch ein Dienst start hilft nicht!

Florian961988 (Level 1) - Jetzt verbinden

LÖSUNG 19.03.2019 um 11:39 Uhr

Aber wofür brauche ich das Programm?

Es läuft doch ab und an mal!

Florian961988 (Level 1) - Jetzt verbinden

LÖSUNG 19.03.2019 um 11:45 Uhr

Zitat von Tommy70:

Hallo,

also für mich klingt die Logmeldung aber schon so als würde die Anmeldung des Users über den Agent abgefragt.
Kannst du mal testen was passiert wenn der User nicht mehr authentifiziert ist und er den PC mit Windows+L sperrt und sich erneut anmeldet?
Und was steht bei der Forti unter "User & Device" > "Single Sign-On"? Ist dort etwas definiert? Falls ja was steht bei Type?

Tom

Dann wird der Benutzer wieder eingeloggt!!

Tommy70 (Level 2) - Jetzt verbinden

LÖSUNG 19.03.2019 um 11:53 Uhr

Dann läuft aber meiner Meinung nach irgendwo der Collector Agent.

Wenn auf dem betroffenen PC ein Programm mit einem anderen User gestartet wird oder eine Verbindung zu einem Netzlaufwerk mit einem anderen Benutzer aufgebaut wird kann es auch zu dem von dir beschrieben Verhalten kommen. Denn dann wird dieser User authentifiziert .
Und durch Windows+L und erneutem Anmelden wieder der aktuelle.

Tom

Florian961988 (Level 1) - Jetzt verbinden

LÖSUNG 19.03.2019 um 12:02 Uhr

So habe endlich die LOGIN Daten für Support Fortigate bekommen, allerdings finde ich den Agent da nicht!

Florian961988 (Level 1) - Jetzt verbinden

LÖSUNG 19.03.2019, aktualisiert um 12:22 Uhr

Ich gehe mal auf die Suche

Als Modus wähle ich wahrscheinlich den DC AGENT MODE richtig?

Den Agent habe ich nu gefunden!

Florian961988 (Level 1) - Jetzt verbinden

LÖSUNG 19.03.2019 um 12:23 Uhr

Bei uns ist da so,
wir haben im AD Gruppen und in der Fortigate FSSO Gruppen die damit verbunden sind!

Gibt es da besonderheiten?

Florian961988 (Level 1) - Jetzt verbinden

LÖSUNG 19.03.2019 um 12:26 Uhr

Und letzte frage dann arbeite ich mich da selber durch,
was brauche ich denn nu den Collector Agent oder den DC Agent?

Florian961988 (Level 1) - Jetzt verbinden

LÖSUNG 19.03.2019 um 14:21 Uhr

Ich habe das FSSO Setup ausgeführt.
er läuft auch allerdings,
zeigt er mir nichts an, ich kann auch nicht ein der beiden DCs auswählen!

Florian961988 (Level 1) - Jetzt verbinden

LÖSUNG 19.03.2019 um 15:54 Uhr

Mittlerweile zeigt er mir an und zeigt auch meinen Benutzer als verified in dem FSSO Agent an,
unter der Firewall zeigt er mir allerdings mein Benutzer im Monitor->Firewall User nicht an!

Ich bin dann wieder in der Regel keine Authentifizierung!

Ich komme gerade nicht weiter und ich weiß auch nicht was ich noch tun soll!

7Gizmo7 (Level 2) - Jetzt verbinden

LÖSUNG 19.03.2019 um 21:16 Uhr

Hi,

also du hast den Agent installiert, mit der Fortigate verbunden. Den Agent in der Fortigate eingetragen. LDAP Server eingetragen. Unter SSO Gruppe die AD Domain Gruppe ausgewählt ?

https://help.fortinet.com/fos50hlp/54/Content/FortiOS/fortigate-authenti ...
https://help.fortinet.com/fos50hlp/54/Content/FortiOS/fortigate-authenti ...
https://cookbook.fortinet.com/providing-single-sign-using-ldap-fsso-agen ... zwar noch alte Ansichten, prinzip aber das gleiche

MfG

Florian961988 (Level 1) - Jetzt verbinden

LÖSUNG 20.03.2019 um 07:10 Uhr

Der Agent ist installiert
DER LDAP ist eingerichtet
SSO_Gruppe mit AD_Gruppe verbunden

aber ich glaube da ist der Fehler, wie trage ich den Agent in die Fortigate ein und muss ich beide DCs eintragen?

Ist der Polling-Mode überhaupt korrekt?

Florian961988 (Level 1) - Jetzt verbinden

LÖSUNG 20.03.2019 um 07:44 Uhr

Die Firewall hat die 6.0.3 als Firmeware
das Sigle-Sign-ON finde ich nirgendwo!

Florian961988 (Level 1) - Jetzt verbinden

LÖSUNG 20.03.2019 um 07:52 Uhr

So ich habe die Firewall nu drinne

Florian961988 (Level 1) - Jetzt verbinden

LÖSUNG 20.03.2019, aktualisiert um 08:58 Uhr

Also ich nun ein neuen Fabric Connector angelegt und dort die beiden DCs eingetragen,
ich nutze den Polling MOde
und leider wird immer noch nicht richtig authentifiziert und ich weiß nicht warum

Unter den Fabric Connector habe ich allerding auch noch einen Active Directory Connector als SSO Identity, den habe ich auch mal deaktiviert!

Leider schlägt immer noch alles fehl und ich habe kein Wartungsvertrag!

DEN DC2 habe ich mal neugestartet den DC1 noch nicht, werde ich morgen früh mal tun!

Ich weiß aber immer noch nicht welcher MODUS zu wählen ist dc agent oder der polling mode?

aqui (Level 5) - Jetzt verbinden

LÖSUNG 20.03.2019, aktualisiert um 10:38 Uhr

Fragt sich warum du nicht mal bei Fortinet München einfach anrufst oder schlicht und einfach mal einen Case bei deren Support aufmachst anstatt hier im 10 Minutentakt Posts deiner einzelnen ToDos zu senden...
Wär doch das Einfachste und damit ist das "Problem" dann doch in 10 Minuten erledigt ?!

Florian961988 (Level 1) - Jetzt verbinden

LÖSUNG 20.03.2019 um 10:46 Uhr

bin schon in der Hotline

Florian961988 (Level 1) - Jetzt verbinden

LÖSUNG 20.03.2019 um 11:21 Uhr

Möchte aber gerne, viel selber ergründen!

Frage Netzwerke

Heiß diskutierte Inhalte

Das ist ja nicht auszuhalten, dass ich für jeden googlen soll

NordicMikeVor 1 TagAllgemeinWünsch Dir was24 Kommentare

Ich beantrage, dass bei jeder Beitragserstellung eine Checkbox angeklickt werden muss, mit dem Text: Ja, ich habe bereits danach gegoogelt. Ansonsten soll der "Senden" ...

SATA Treiber für HP

gelöst ben1300Vor 1 TagFrageFestplatten, SSD, Raid21 Kommentare

Hallo zusammen, ich habe einen PC von HP (Seriennummer: CZC3475D5D) Wollte hier Windows 7 Prof. installieren - es fehlt der SATA Treiber Leider kann ...

Gibt es ein allgemeines Outlook senden Problem zur Zeit?

gelöst StefanKittelVor 1 TagFrageOutlook & Mail3 Kommentare

Hallo, habe gerade kurz hinterander 2 völlig getrennte Kunden mit dem gleichen Wirren Problem in Outlook. A) Outlook 2019, Exchange bei Busymouse24 (Hoster), Mit ...

Massenumbenennung von Dateien und Ordnern

breakballVor 1 TagFrageMicrosoft9 Kommentare

Hallo zusammen, falls der Beitrag in dieser Kategorie falsch ist, bitte in die richtige verschieben. Stehe vor folgender Aufgabe, in einem Datenverzeichnis befinden sich ...

Neues Netzwerk, Segmentierung KMU

surreal1Vor 1 TagFrageNetzwerke4 Kommentare

Hallo an alle, seit langem lese ich schon im Forum aus Interesse mit, jedoch hatte ich noch nie die Gelegenheit aktiv an der Community ...

VPN RDP Performance

BergggVor 1 TagFrageFirewall8 Kommentare

Hey, wir haben eine Sophos XG (1GBit sync), über welche sich unsere User ins Netzwerk einwählen SSL VPN (zwischen 30 und 120 Benutzer). Nach ...

Windows Server 2016 RD Verbinungsbroker hochverfügbar

ServerBossVor 1 TagFrageWindows Server5 Kommentare

Hallo, ich muß bei einem Kunden die Windows Server 2016 RDS-Farm mit einem zweiten RD-Verbindungsbroker ausstatten. Hierzu möchte ich die RD-Verbindungsbroker für hohe Verfügbarkeit ...

Wie DMZ ohne doppeltes NAT am VF-Kabel-Internetzugang realisieren?

OldermanVor 19 StundenFrageRouter & Routing23 Kommentare

Hallo und guten Tag allerseits! Ich habe mich nach einiger Zeit des Lesens der aufschlussreichen und wertvollen Beiträge hier zum Thema echtes DMZ mit ...