Cómo resolver la falla en la autenticación de usuarios de Active Directory en Fortinet

En este artículo, abordamos un problema común que puede surgir al utilizar FortiGate para la autenticación LDAP (Protocolo Ligero de Acceso a Directorios) en un entorno de Active Directory. Es crucial resolver esto, ya que puede resultar en credenciales de usuario incorrectas, lo que afecta el acceso y la seguridad en tu red. A través de este documento, aprenderás a diagnosticar y solucionar este inconveniente.

Índice

1 Descripción del problema
2 Alcance
3 Diagnóstico paso a paso
4 Solución recomendada
5 Comandos CLI utilizados
6 Buenas prácticas y recomendaciones
7 Notas adicionales

Descripción del problema

El error se presenta cuando FortiGate intenta autenticar un usuario de Active Directory a través de LDAP, pero el cliente recibe credenciales incorrectas. Esto puede deberse a varias razones, como un usuario contraseña incorrecta o ajustes de configuración desactivados en el Active Directory.

Alcance

Este artículo se centra en la resolución de problemas relacionados con la autenticación LDAP en FortiGate.

Diagnóstico paso a paso

Al probar un usuario de Active Directory, aparece el siguiente error:

En una captura de paquetes para el puerto 389 en FortiGate, se recibe la siguiente respuesta para la solicitud de búsqueda LDAP del usuario User1:

El código de error 0x4DC puede aparecer por dos razones principales: la primera, una contraseña incorrecta del usuario; la segunda, que el modo de simple bind esté desactivado en el Active Directory. Este último puede reactivarse añadiendo `pwdssp.dll` en la clave SecurityProviders en el registro del servidor.

Solución recomendada

Para solucionar este problema, verifica primero la contraseña del usuario. Si la contraseña es correcta, asegúrate de que el simple bind esté habilitado. Esto se puede hacer a través del registro del servidor, editando el siguiente camino clave:

HKLM/SYSTEM/ControlSet/Control/SecurityProviders

En algunos casos, también puede necesitar cambios en:

HKLM/SYSTEM/ControlSet001/Control/SecurityProviders

HKLM/SYSTEM/ControlSet002/Control/SecurityProviders

Comandos CLI utilizados

Dentro de FortiGate, pueden utilizarse los siguientes comandos CLI para verificar la configuración LDAP y realizar pruebas de conexión:

diagnose debug enable
diagnose debug application ldap -1

Buenas prácticas y recomendaciones

Asegúrate de seguir estas recomendaciones para evitar problemas en el futuro:

Revisa y valida las credenciales de usuario y su configuración en Active Directory regularmente.
Documenta los cambios realizados en la configuración del registro del servidor.
Realiza pruebas de autenticación LDAP periódicas para garantizar que todo esté funcionando correctamente.

Notas adicionales

Es fundamental estar al tanto de cualquier cambio en las políticas de seguridad y administración de los servidores de Active Directory, ya que esto puede afectar la autenticación. Mantén FortiGate y el Active Directory actualizados para garantizar la compatibilidad y la seguridad en la autenticación de usuarios.

¿Te ha resultado útil??

0 / 0

Mila y César

Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.

¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!

Deja una respuesta 0

Otras preguntas sobre FortiGate

Cómo solucionar el problema de tráfico que se encuentra con la política de denegación implícita en Fortinet, a pesar de tener las políticas de firewall configuradas correctamente.
Este artículo aborda un problema en la configuración de FortiGate que puede hacer que el tráfico legítimo sea bloqueado por una regla de denegación implícita, a pesar de tener políticas configuradas para permitirlo. Esto es crítico porque puede interrumpir la conectividad de red y afectar operaciones comerciales. Aquí, se presentarán los pasos para diagnosticar y Leer
Cómo configurar el agente SNMP de fortigate para monitoreo
Descripción Este artículo proporciona la configuración del agente SNMP de FortiGate para que el administrador SNMP obtenga información de estado de la unidad FortiGate y para que la unidad FortiGate envíe trampas al administrador SNMP. Solución Para configurar el acceso SNMP – GUI: 1) Vaya a Red -> Interfaces 2) Elija una interfaz a la Leer
Cómo resolver problemas de configuración de la política de Traffic Shaping con categoría de aplicación, filtro de URL y ISDB en Fortinet
En este artículo, abordamos un problema común que puede surgir al configurar una Política de Traffic Shaper en un dispositivo FortiGate, específicamente cuando se utilizan múltiples bases de datos de servicios de Internet (ISDB) como destino. Este problema es importante porque la correcta configuración de las políticas de gestión del tráfico es fundamental para garantizar Leer
Cómo resolver la advertencia de categoría de Webfilter de FortiGuard en la configuración de WCCP entre FortiGate y FortiProxy
En este artículo, abordaremos un tema crucial relacionado con la configuración de FortiGate y FortiProxy: la necesidad de permitir el tráfico de dispositivos cliente a través del puerto 8010 cuando se utilizan categorías de filtrado web de FortiGuard configuradas en estado ‘Advertencia’. Este problema es vital, ya que sin la adecuada configuración, las páginas de Leer
Creación de un enlace redundante
Descripción En una interfaz redundante, el tráfico solo pasa por una interfaz en cualquier momento. Esto difiere de una interfaz agregada donde el tráfico pasa por todas las interfaces para aumentar el ancho de banda. Esta diferencia significa que las interfaces redundantes pueden tener configuraciones más robustas con menos posibles puntos de falla. Esto es Leer