Fortigate Authentifizierung SSO
Hallo,
wir haben eine Fortigate 100D mit der Version 6.0.3 mit 2 WAN Anschlüssen genutzt!
die ist mit dem AD verbunden , dort habe wir die Gruppen Surfen_voll, surfen_beschränkt und surfen_deny
Es gibt dort IPv4 Policy die besagten
Internal -> wan1 (surfen_vollzugriff) (ssl-> certififcat-inspection)
Internal -> wan1(surfen_beschränkt) (ssl-> certififcat-inspection)
Internal -> wan1(kein-auth)
Nun ist das so, dass es benutzer gibt die in der gruppe_beschränkt sind und benutzer im vollzugriff
Jetzt ist passiert, dass sich einige Benutzer nicht authentifiziert haben und in die 3 Regel reingefallen sind und ich verstehe nicht wieso und selbst ein Tag später kann ich diese Benutzer nicht im Firewall Monitor finden!
Die Zerrtifikate werden über GPO verteilt und sind auf bei den betroffenen Usern auch im Chrome und im Firefox!
Nur wie bekomme ich die Authentifizerierung wieder hin und warum passiert das mitten am Tag gegen 11:00?
wir haben eine Fortigate 100D mit der Version 6.0.3 mit 2 WAN Anschlüssen genutzt!
die ist mit dem AD verbunden , dort habe wir die Gruppen Surfen_voll, surfen_beschränkt und surfen_deny
Es gibt dort IPv4 Policy die besagten
Internal -> wan1 (surfen_vollzugriff) (ssl-> certififcat-inspection)
Internal -> wan1(surfen_beschränkt) (ssl-> certififcat-inspection)
Internal -> wan1(kein-auth)
Nun ist das so, dass es benutzer gibt die in der gruppe_beschränkt sind und benutzer im vollzugriff
Jetzt ist passiert, dass sich einige Benutzer nicht authentifiziert haben und in die 3 Regel reingefallen sind und ich verstehe nicht wieso und selbst ein Tag später kann ich diese Benutzer nicht im Firewall Monitor finden!
Die Zerrtifikate werden über GPO verteilt und sind auf bei den betroffenen Usern auch im Chrome und im Firefox!
Nur wie bekomme ich die Authentifizerierung wieder hin und warum passiert das mitten am Tag gegen 11:00?
29 Antworten
- LÖSUNG aqui schreibt am 04.12.2018 um 17:31:49 Uhr
- LÖSUNG Florian961988 schreibt am 05.12.2018 um 08:26:20 Uhr
- LÖSUNG 7Gizmo7 schreibt am 04.12.2018 um 20:22:07 Uhr
- LÖSUNG Florian961988 schreibt am 05.12.2018 um 08:26:57 Uhr
- LÖSUNG Tommy70 schreibt am 05.12.2018 um 09:07:38 Uhr
- LÖSUNG Florian961988 schreibt am 05.12.2018 um 11:47:29 Uhr
- LÖSUNG Tommy70 schreibt am 05.12.2018 um 12:56:14 Uhr
- LÖSUNG Florian961988 schreibt am 06.12.2018 um 09:37:48 Uhr
- LÖSUNG 7Gizmo7 schreibt am 07.12.2018 um 18:46:43 Uhr
- LÖSUNG Florian961988 schreibt am 19.03.2019 um 10:58:00 Uhr
- LÖSUNG Tommy70 schreibt am 19.03.2019 um 11:30:21 Uhr
- LÖSUNG Florian961988 schreibt am 19.03.2019 um 11:30:26 Uhr
- LÖSUNG Florian961988 schreibt am 19.03.2019 um 11:39:40 Uhr
- LÖSUNG Florian961988 schreibt am 19.03.2019 um 10:58:00 Uhr
- LÖSUNG 7Gizmo7 schreibt am 07.12.2018 um 18:46:43 Uhr
- LÖSUNG Florian961988 schreibt am 19.03.2019 um 11:45:48 Uhr
- LÖSUNG Tommy70 schreibt am 19.03.2019 um 11:53:43 Uhr
- LÖSUNG Florian961988 schreibt am 19.03.2019 um 12:02:41 Uhr
- LÖSUNG Florian961988 schreibt am 19.03.2019 um 12:20:36 Uhr
- LÖSUNG Florian961988 schreibt am 19.03.2019 um 12:23:55 Uhr
- LÖSUNG Florian961988 schreibt am 19.03.2019 um 12:26:46 Uhr
- LÖSUNG Florian961988 schreibt am 19.03.2019 um 14:21:32 Uhr
- LÖSUNG Florian961988 schreibt am 19.03.2019 um 15:54:45 Uhr
- LÖSUNG 7Gizmo7 schreibt am 19.03.2019 um 21:16:29 Uhr
- LÖSUNG Florian961988 schreibt am 20.03.2019 um 07:10:48 Uhr
- LÖSUNG Florian961988 schreibt am 20.03.2019 um 07:44:17 Uhr
- LÖSUNG Florian961988 schreibt am 20.03.2019 um 07:52:50 Uhr
- LÖSUNG Florian961988 schreibt am 20.03.2019 um 08:26:27 Uhr
- LÖSUNG aqui schreibt am 20.03.2019 um 10:37:45 Uhr
- LÖSUNG Florian961988 schreibt am 20.03.2019 um 10:46:47 Uhr
- LÖSUNG Florian961988 schreibt am 20.03.2019 um 11:21:43 Uhr
- LÖSUNG Florian961988 schreibt am 20.03.2019 um 10:46:47 Uhr
- LÖSUNG aqui schreibt am 20.03.2019 um 10:37:45 Uhr
- LÖSUNG Florian961988 schreibt am 20.03.2019 um 08:26:27 Uhr
- LÖSUNG Florian961988 schreibt am 20.03.2019 um 07:52:50 Uhr
- LÖSUNG Florian961988 schreibt am 20.03.2019 um 07:44:17 Uhr
- LÖSUNG Florian961988 schreibt am 20.03.2019 um 07:10:48 Uhr
- LÖSUNG 7Gizmo7 schreibt am 19.03.2019 um 21:16:29 Uhr
- LÖSUNG Florian961988 schreibt am 19.03.2019 um 15:54:45 Uhr
- LÖSUNG Florian961988 schreibt am 19.03.2019 um 14:21:32 Uhr
- LÖSUNG Florian961988 schreibt am 19.03.2019 um 12:26:46 Uhr
- LÖSUNG Florian961988 schreibt am 19.03.2019 um 12:23:55 Uhr
- LÖSUNG Florian961988 schreibt am 19.03.2019 um 12:20:36 Uhr
- LÖSUNG Florian961988 schreibt am 06.12.2018 um 09:37:48 Uhr
- LÖSUNG Tommy70 schreibt am 05.12.2018 um 12:56:14 Uhr
- LÖSUNG Florian961988 schreibt am 05.12.2018 um 11:47:29 Uhr
- LÖSUNG Tommy70 schreibt am 05.12.2018 um 09:07:38 Uhr
- LÖSUNG Florian961988 schreibt am 05.12.2018 um 08:26:57 Uhr
LÖSUNG 04.12.2018, aktualisiert um 17:32 Uhr
LÖSUNG 04.12.2018 um 20:22 Uhr
LÖSUNG 05.12.2018 um 08:26 Uhr
LÖSUNG 05.12.2018 um 09:07 Uhr
LÖSUNG 05.12.2018 um 11:47 Uhr
mmh der ist nie installiert worden
die forti ist per ldap angebunden
ich bin frisch hier und mich wundert das auch etwas!
Bei Sophos habe ich nie so ein Programm installiert!
Es funktioniert ja auch nur werden die Benutzer gekegelt hier mal so eine Nachricht
xxx SSO_surfen_vollzugriff 23 minute(s) and 48 second(s) 192.168.4.164 66.00 MB Fortinet Single Sign-On
Und hier mal ein User EVENT
user xxx removed from auth logon fortigate
Dann geht der User in die Regel "wenn kein auth" und naja dann ist vorbei, schalte ich in der Regel den Webfilter surfen_beschränkt aus geht es wieder, aber das ist ja keine Lösung!
die forti ist per ldap angebunden
ich bin frisch hier und mich wundert das auch etwas!
Bei Sophos habe ich nie so ein Programm installiert!
Es funktioniert ja auch nur werden die Benutzer gekegelt hier mal so eine Nachricht
xxx SSO_surfen_vollzugriff 23 minute(s) and 48 second(s) 192.168.4.164 66.00 MB Fortinet Single Sign-On
Und hier mal ein User EVENT
user xxx removed from auth logon fortigate
Dann geht der User in die Regel "wenn kein auth" und naja dann ist vorbei, schalte ich in der Regel den Webfilter surfen_beschränkt aus geht es wieder, aber das ist ja keine Lösung!
LÖSUNG 05.12.2018 um 12:56 Uhr
Hallo,
also für mich klingt die Logmeldung aber schon so als würde die Anmeldung des Users über den Agent abgefragt.
Kannst du mal testen was passiert wenn der User nicht mehr authentifiziert ist und er den PC mit Windows+L sperrt und sich erneut anmeldet?
Und was steht bei der Forti unter "User & Device" > "Single Sign-On"? Ist dort etwas definiert? Falls ja was steht bei Type?
Tom
also für mich klingt die Logmeldung aber schon so als würde die Anmeldung des Users über den Agent abgefragt.
Kannst du mal testen was passiert wenn der User nicht mehr authentifiziert ist und er den PC mit Windows+L sperrt und sich erneut anmeldet?
Und was steht bei der Forti unter "User & Device" > "Single Sign-On"? Ist dort etwas definiert? Falls ja was steht bei Type?
Tom
LÖSUNG 06.12.2018 um 09:37 Uhr
LÖSUNG 07.12.2018 um 18:46 Uhr
LÖSUNG 19.03.2019, aktualisiert um 10:59 Uhr
LÖSUNG 19.03.2019 um 11:30 Uhr
LÖSUNG 19.03.2019 um 11:45 Uhr
Zitat von Tommy70:
Hallo,
also für mich klingt die Logmeldung aber schon so als würde die Anmeldung des Users über den Agent abgefragt.
Kannst du mal testen was passiert wenn der User nicht mehr authentifiziert ist und er den PC mit Windows+L sperrt und sich erneut anmeldet?
Und was steht bei der Forti unter "User & Device" > "Single Sign-On"? Ist dort etwas definiert? Falls ja was steht bei Type?
Tom
Hallo,
also für mich klingt die Logmeldung aber schon so als würde die Anmeldung des Users über den Agent abgefragt.
Kannst du mal testen was passiert wenn der User nicht mehr authentifiziert ist und er den PC mit Windows+L sperrt und sich erneut anmeldet?
Und was steht bei der Forti unter "User & Device" > "Single Sign-On"? Ist dort etwas definiert? Falls ja was steht bei Type?
Tom
Dann wird der Benutzer wieder eingeloggt!!
LÖSUNG 19.03.2019 um 11:53 Uhr
Dann läuft aber meiner Meinung nach irgendwo der Collector Agent.
Wenn auf dem betroffenen PC ein Programm mit einem anderen User gestartet wird oder eine Verbindung zu einem Netzlaufwerk mit einem anderen Benutzer aufgebaut wird kann es auch zu dem von dir beschrieben Verhalten kommen. Denn dann wird dieser User authentifiziert .
Und durch Windows+L und erneutem Anmelden wieder der aktuelle.
Tom
Wenn auf dem betroffenen PC ein Programm mit einem anderen User gestartet wird oder eine Verbindung zu einem Netzlaufwerk mit einem anderen Benutzer aufgebaut wird kann es auch zu dem von dir beschrieben Verhalten kommen. Denn dann wird dieser User authentifiziert .
Und durch Windows+L und erneutem Anmelden wieder der aktuelle.
Tom
LÖSUNG 19.03.2019 um 12:02 Uhr
LÖSUNG 19.03.2019, aktualisiert um 12:22 Uhr
LÖSUNG 19.03.2019 um 12:23 Uhr
LÖSUNG 19.03.2019 um 12:26 Uhr
LÖSUNG 19.03.2019 um 14:21 Uhr
LÖSUNG 19.03.2019 um 15:54 Uhr
Mittlerweile zeigt er mir an und zeigt auch meinen Benutzer als verified in dem FSSO Agent an,
unter der Firewall zeigt er mir allerdings mein Benutzer im Monitor->Firewall User nicht an!
Ich bin dann wieder in der Regel keine Authentifizierung!
Ich komme gerade nicht weiter und ich weiß auch nicht was ich noch tun soll!
unter der Firewall zeigt er mir allerdings mein Benutzer im Monitor->Firewall User nicht an!
Ich bin dann wieder in der Regel keine Authentifizierung!
Ich komme gerade nicht weiter und ich weiß auch nicht was ich noch tun soll!
LÖSUNG 19.03.2019 um 21:16 Uhr
Hi,
also du hast den Agent installiert, mit der Fortigate verbunden. Den Agent in der Fortigate eingetragen. LDAP Server eingetragen. Unter SSO Gruppe die AD Domain Gruppe ausgewählt ?
https://help.fortinet.com/fos50hlp/54/Content/FortiOS/fortigate-authenti ...
https://help.fortinet.com/fos50hlp/54/Content/FortiOS/fortigate-authenti ...
https://cookbook.fortinet.com/providing-single-sign-using-ldap-fsso-agen ... zwar noch alte Ansichten, prinzip aber das gleiche
MfG
also du hast den Agent installiert, mit der Fortigate verbunden. Den Agent in der Fortigate eingetragen. LDAP Server eingetragen. Unter SSO Gruppe die AD Domain Gruppe ausgewählt ?
https://help.fortinet.com/fos50hlp/54/Content/FortiOS/fortigate-authenti ...
https://help.fortinet.com/fos50hlp/54/Content/FortiOS/fortigate-authenti ...
https://cookbook.fortinet.com/providing-single-sign-using-ldap-fsso-agen ... zwar noch alte Ansichten, prinzip aber das gleiche
MfG
LÖSUNG 20.03.2019 um 07:10 Uhr
LÖSUNG 20.03.2019 um 07:44 Uhr
LÖSUNG 20.03.2019, aktualisiert um 08:58 Uhr
Also ich nun ein neuen Fabric Connector angelegt und dort die beiden DCs eingetragen,
ich nutze den Polling MOde
und leider wird immer noch nicht richtig authentifiziert und ich weiß nicht warum
Unter den Fabric Connector habe ich allerding auch noch einen Active Directory Connector als SSO Identity, den habe ich auch mal deaktiviert!
Leider schlägt immer noch alles fehl und ich habe kein Wartungsvertrag!
DEN DC2 habe ich mal neugestartet den DC1 noch nicht, werde ich morgen früh mal tun!
Ich weiß aber immer noch nicht welcher MODUS zu wählen ist dc agent oder der polling mode?
ich nutze den Polling MOde
und leider wird immer noch nicht richtig authentifiziert und ich weiß nicht warum
Unter den Fabric Connector habe ich allerding auch noch einen Active Directory Connector als SSO Identity, den habe ich auch mal deaktiviert!
Leider schlägt immer noch alles fehl und ich habe kein Wartungsvertrag!
DEN DC2 habe ich mal neugestartet den DC1 noch nicht, werde ich morgen früh mal tun!
Ich weiß aber immer noch nicht welcher MODUS zu wählen ist dc agent oder der polling mode?
LÖSUNG 20.03.2019, aktualisiert um 10:38 Uhr