En este artículo, abordaremos un problema común que enfrentan los usuarios de FortiGate: la visualización incorrecta del nombre de usuario Xauth en el panel de monitoreo. Este problema puede afectar la identificación y gestión de conexiones a VPN, lo que es crucial para la seguridad y operación de redes. Aquí, ofreceremos una solución paso a paso para ayudar a resolver este inconveniente en las versiones de FortiOS afectadas.
Índice
Descripción del problema
Los dispositivos FortiGate pueden presentar una anomalía donde, en el panel de control bajo el monitoreo de IPsec, se muestra el UID de FortiClient en lugar del nombre de usuario real en la columna ‘Xauth User’. Esto puede generar confusión y dificultar la gestión y seguimiento de las conexiones autenticadas.
Alcance
Este problema afecta a las versiones de FortiOS desde 7.2.6 en adelante, incluyendo 7.4.0 y 7.4.1. Además, la función de VPN IPsec SAML IKEv2 se introdujo en FortiClient a partir de la versión 7.2.3.
Diagnóstico paso a paso
Para diagnosticar el problema, debes acceder al panel de control en FortiGate y realizar el siguiente comando en la CLI para verificar la configuración de los gateways IKE:
diagnose vpn ike gateway list
FortiGate (root) # diagnose vpn ike gateway list
vd: root/0
name: FCT_SAML_
version: 2
interface: vlan5555 55
addr: 5.5.5.5:4500 -> 5.5.5.6:64917
tun_id: 192.168.1.1/::10.0.0.185
remote_location: 0.0.0.0
network-id: 0
transport: UDP
created: 149s ago
eap-user: 48B5CB6355D24C8C9BA77807C8DB6CB7 <– Aquí se muestra el UID de FortiClient en lugar del nombre de usuario real.
Solución recomendada
Para solucionar este problema, se recomienda hacer el siguiente cambio en la configuración de SSO:
config user saml
edit «<SAML SERVER>»
set user-name http://schemas.microsoft.com/identity/claims/displayname<- En lugar de ‘username’.
next
end
Este problema es conocido en las versiones de FortiOS inferiores a 7.4.2. Por lo tanto, una solución definitiva es actualizar FortiOS a la versión 7.4.2 para resolver este inconveniente.
Comandos CLI utilizados
Durante el diagnóstico y la solución de este problema, se han utilizado los siguientes comandos en la CLI:
- diagnose vpn ike gateway list: Muestra la lista de gateways IKE y sus propiedades, incluyendo el UID de FortiClient.
- config user saml: Permite configurar los ajustes de SSO para determinar cómo se manejarán los nombres de usuario.
Buenas prácticas y recomendaciones
Para minimizar la probabilidad de encontrar este tipo de problemas, se recomienda:
- Mantener el firmware de FortiGate actualizado a la última versión para beneficiarse de correcciones y mejoras.
- Realizar auditorías regulares de la configuración de SSO y VPN para garantizar que estén correctamente configuradas.
- Documentar los cambios en la configuración para realizar un seguimiento efectivo de las modificaciones.
Notas adicionales
Es importante estar alerta a las actualizaciones de FortiOS y consultar las notas de la versión para identificar nuevos problemas o cambios en el comportamiento del sistema. La comunidad y el soporte técnico de Fortinet también son buenos recursos para consultar sobre problemas específicos y sus soluciones.
¿Te ha resultado útil??
0 / 0
Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.
¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!