Autenticar a los usuarios remotos y locales con un solo grupo

Hola amig@s, por aquí Mila Jiménez y hoy os voy a ayudar con:
Autenticar a los usuarios remotos y locales con un solo grupo

Descripción
Este artículo describe cómo autenticar usuarios remotos de LDAP y usuarios locales vía SSLVPN bajo el mismo Grupo de Usuarios en FortiGate.

Solución
Configure paso a paso, pruebe y solucione los problemas de autenticación del modo web de SSLVPN en FortiGate utilizando el usuario local y el usuario LDAP remoto.

1) Crear los usuarios locales ‘estudiante’ y ‘estudiante1’ CLI / GUI.

# config usuario local
editar «estudiante»
set type password
set passwd ContraseñaEstudiante
siguiente
editar «estudiante1»
set type password
set passwd ContraseñaEstudiante1
siguiente
fin

2) Configurar el servidor LDAP CLI / GUI.

# config user ldap
editar «MyLDAP»
set servidor «10.133.4.242»
set cnid «sAMAccountName»
set dn «DC=mi trabajo,DC=local»
set type regular
set username «CN=Administrador,CN=Usuarios,DC=mi trabajo,DC=local»
set password secretLDAPpassword
siguiente
end

3) Cree el grupo de usuarios «SSLVPN», añada usuarios locales y el servidor remoto ‘MyLDAP’.

# configurar grupo de usuarios
editar «SSLVPN»
set member «MyLDAP» «student» «student1»
# config match
editar 1
set nombre-servidor «MyLDAP»
set group-name «CN=test,OU=test,DC=mywork,DC=local»
siguiente
end
siguiente
end
4)Configurar SSLVPN.
# config vpn ssl settings
# config authentication-rule
editar 1
set groups «SSLVPN»
set portal «web-access»
siguiente
end
fin
5)Configure la política del cortafuegos y añada el grupo ‘SSLVPN’ al campo Fuente.
# Configurar la política del cortafuegos
editar 0
set name «IncomingSSLVPN»
set srcintf «ssl.root»
set dstintf «puerto4»
set srcaddr «all»
set dstaddr «todos»
set action accept
fijar horario «siempre»
set service «ALL»
set logtraffic all
set groups «SSLVPN»
siguiente
end
RESOLUCIÓN DE PROBLEMAS.
1) Pruebe la autenticación de usuarios y depure los registros.
– Pruebe el usuario LDAP existente ‘test.user’ a través de la CLI.

# diagnosticar prueba authserver ldap MyLDAP test.user Contraseña12
autenticación de ‘test.user’ contra ‘MyLDAP’ ¡con éxito!
Membresía(s) del grupo – CN=Domain Users,CN=Users,DC=mywork,DC=local
– Inicio de sesión remoto a través del Portal SSL-VPN , Monitorización y depuración de SSL-VPN.
# diagnosticar la aplicación de depuración sslvpn -1
Los mensajes de depuración estarán activados durante 30 minutos.
# diagnostic debug enable
…
[359:root:4b]sslvpn_authenticate_user:191 autenticar usuario: [test.user] [359:root:4b]sslvpn_authenticate_user:198 crear estado fam
[359:root:4b]fam_auth_send_req:583 con lista negra de servidores:
[359:root:4b]fam_auth_send_req_internal:461 fnbam_auth return: 4
[359:root:4b]Autoría exitosa para el grupo SSLVPN
[359:root:4b]fam_do_cb:654 fnbamd return auth success.
[359:root:4b]El inicio de sesión de SSL VPN coincidió con la regla (1).
…
2) Inicie sesión en el portal SSL-VPN con el usuario local ‘estudiante’, monitoree y depure SSL-VPN.
# diagnosticar la aplicación de depuración sslvpn -1
Los mensajes de depuración estarán activados durante 30 minutos.
# diagnose debug console timestamp enable
# diagnostic debug enable
…
2020-04-16 10:32:39 [359:root:33]sslvpn_authenticate_user:191 autenticar usuario: [student] 2020-04-16 10:32:39 [359:root:33]sslvpn_authenticate_user:198 create fam state
2020-04-16 10:32:39 [359:root:33]fam_auth_send_req:583 con lista negra del servidor:
2020-04-16 10:32:39 La autentificación local se realiza con el usuario ‘estudiante’, ret=0
2020-04-16 10:32:39 [359:root:33]fam_auth_send_req_internal:461 fnbam_auth return: 0
2020-04-16 10:32:39 [359:root:33]fam_auth_send_req_internal:470 autenticación OK
2020-04-16 10:32:39 [359:root:33]fam_do_cb:654 fnbamd return auth success.
2020-04-16 10:32:39 [359:root:33]El inicio de sesión de SSL VPN coincidió con la regla (1). <—– La regla se refiere a la sección ‘config authentication-rule’ en la configuración de SSLVPN o la orden de la GUI o la coincidencia del portal. La primera regla que coincida dejará de procesarse.
…
3) Acceda al portal SSL-VPN con el usuario local ‘student1’, monitorice y depure SSL-VPN.
# diagnosticar la aplicación de depuración sslvpn -1
Los mensajes de depuración estarán activados durante 30 minutos.
# diagnostic debug enable
[359:root:3c]sslvpn_authenticate_user:191 autenticar usuario: [student1] [359:root:3c]sslvpn_authenticate_user:198 crear estado fam
[359:root:3c]fam_auth_send_req:583 con lista negra de servidores:
[359:root:3c]fam_auth_send_req_internal:461 fnbam_auth return: 0
[359:root:3c]fam_auth_send_req_internal:470 autenticación OK
[359:root:3c]fam_do_cb:654 fnbamd return auth success.
[359:root:3c]El inicio de sesión SSL VPN ha coincidido con la regla (1).
Nota:
En caso de que el LDAP contenga un usuario llamado ‘estudiante’ (igual que el usuario local), entonces el usuario LDAP tendrá prioridad y el usuario local con un token asignado puede ser anulado.

Para acabar, felicitarte por haber leído hasta el final de este artículo. Ojalá que haya servido para solucionar tus problemas y que nos guardes en tus favoritos.
Si no puedes encontrar solución a tu problema escribe en la barra de arriba o contacta con nosotros en la caja de comentarios.

¿Te ha resultado útil??

0 / 0

Mila y César

Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.

¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!

Deja una respuesta 0

Otras preguntas sobre FortiGate

Cómo cambiar las columnas de la política del cortafuegos por defecto
Bienvenidos 🙌, me llamo Mila Jiménez y hoy nos toca tratar con: ⬇️ Cómo cambiar las columnas de la política del cortafuegos por defecto La configuración por defecto de las columnas de la política del cortafuegos puede cambiarse, utilizando esta opción. Para poder cambiar qué columnas ver en la política del cortafuegos. Comandos a ejecutar. Leer
Rutas de política con múltiples ISP
A continuación se muestra una configuración en la que hay dos LANs (LAN1 y LAN2) y dos WAN (WAN1 y WAN2), la configuración muestra cómo enrutar todo el tráfico de LAN1 hacia WAN1 y el tráfico de LAN2 hacia WAN2 también necesita la comunicación entre LAN1 & LAN2 y viceversa. Diagrama de red: (LAN1)10.32.5.0/24<->puerto7<->Firewall FortiGate<->(WAN1)Puerto1 Leer
Problema de autocomprobación de certificado de sitio web caducado
El sitio web (url:https://etax.nat.gov.tw/etwmain/etw160w) con el navegador de Microsoft no se puede acceder debido a que el certificado ha expirado. Se puede acceder al sitio web con el navegador FireFox debido a que el certificado ha sido confiado en el navegador. No hay certificado de autoridad en los navegadores Chrome/Edge. El mensaje de alerta de Leer
Cómo verificar las rutas anunciadas y recibidas de BGP en un fortigate
Descripción Este artículo explica cómo verificar las rutas anunciadas y recibidas de BGP en un FortiGate. Solución Topología: El emparejamiento EBGP entre FGT1 y FGT2 está activo. En esta configuración de laboratorio, ambas unidades FGT anuncian sus interfaces Loopback a través de eBGP entre sí. Salidas de FGT1: # FGT1# obtener información del enrutador resumen Leer
No se puede configurar L2TP para Windows nativo o Android o iOS desde el asistente de IPsec
El error recibido se debe a que el FortiGate no tiene un servicio para el L2TP disponible. Desde la GUI sería posible seleccionar ‘Crear servicio L2TP’ para habilitar el servicio L2TP. Desde la CLI, verifique que el servicio personalizado L2TP existe ejecutando el siguiente comando desde la CLI de FortiGate # show firewall service custom Leer