Cómo solucionar el error de Permiso Denegado -455 en la conexión SSL VPN con 2FA y grupo de usuarios LDAP en Fortinet

0
0
0

En este artículo, abordaremos el problema de «Permiso Denegado» que puede surgir al utilizar FortiClient (SSL VPN) con autenticación de dos factores (2FA). Este problema puede impedir el acceso a recursos críticos, afectando la productividad y la seguridad. Aquí, encontrará una guía paso a paso para diagnosticar y resolver este problema de manera efectiva.

Descripción del problema

El error de «Permiso Denegado» se produce cuando un usuario intenta autenticarse a través de la VPN SSL utilizando credenciales que no son aceptadas por el sistema de autenticación LDAP o por la configuración de FortiGate. Esto puede deberse a diversos factores, como configuraciones incorrectas o cambios en las credenciales del usuario en el servidor LDAP.

Alcance

Este artículo está dirigido a usuarios y administradores de FortiGate que enfrentan problemas relacionados con la autenticación a través de la VPN SSL y el uso de FortiToken.

Diagnóstico paso a paso

Para resolver el problema, siga estos pasos:

  1. Configure el usuario local o el usuario LDAP agregado en el portal de VPN SSL y habilite la autenticación de dos factores (2FA) para los tokens móviles de prueba.
  2. Una vez que el usuario esté añadido a la definición, FortiGate generará un código QR que se enviará a la dirección de correo electrónico mencionada. El estado de FortiToken permanecerá en ‘Pendiente’ hasta que el token sea activado.
  3. Instale FortiToken desde la aplicación móvil y actívela escaneando el código QR. Consejo Técnico: Consulte cómo asignar FortiToken Mobile a los usuarios en FortiGate y FortiAuthenticator.
  4. Intente iniciar sesión en la VPN SSL con el nombre de usuario y la contraseña del LDAP o del usuario local. Esto generará el token, ingreselo. Si ocurre un error de conexión VPN, se mostrará ‘Permiso Denegado -455’.
Artículos relacionados  Cómo solucionar el error 'La conexión SSL está bloqueada debido a que no se puede recuperar el certificado del servidor' en Fortinet

Siga los siguientes pasos adicionales:

  • Verifique que el estado de FortiToken siga en estado ‘Pendiente’.
  • Elimine el FortiToken de la definición del usuario, elimine los tokens de prueba y vuelva a importarlos.

* Siga las instrucciones de los pasos 2 y 3 e intente iniciar sesión con el nombre de usuario y contraseña.

* El token se generará en la aplicación móvil; ingréselo y debería funcionar correctamente.

Solución recomendada

Si el problema persiste, revise lo siguiente en el servidor LDAP:

  • Verifique si la conexión del servidor LDAP a FortiGate sigue activa.
  • Verifique la configuración LDAP y confirme si las credenciales del usuario han cambiado en el servidor LDAP; si han cambiado, intente con una nueva contraseña.
  • Verifique si el ‘Usuario’ fue añadido al grupo LDAP.
  • Intente crear otra entrada de usuario bajo el mismo grupo LDAP para confirmar si el problema es específico del usuario.

En ocasiones, la licencia de prueba puede volverse inválida, por lo que se recomienda eliminar al usuario de FortiToken, eliminarlo y volver a importarlo.

Comandos CLI utilizados

A continuación se presentan algunos comandos CLI que pueden ser útiles para el diagnóstico y resolución de este problema:

show system status
diagnose vpn ssl status
diagnose debug enable
diagnose debug cli enable
Buenas prácticas y recomendaciones

Para evitar problemas similares en el futuro, considere las siguientes recomendaciones:

  • Verifique periódicamente la configuración de los grupos LDAP para asegurarse de que los usuarios estén correctamente asignados.
  • Realice un seguimiento de los cambios en las credenciales de usuario y ajuste la configuración en consecuencia.
  • Mantenga actualizadas las aplicaciones de FortiClient y FortiToken para asegurar compatibilidad y recibir mejoras de seguridad.
Notas adicionales

Recuerde que el uso del correo electrónico como nombre de usuario puede causar errores. Asegúrese de utilizar el nombre de usuario definido en el grupo LDAP, que generalmente es diferente del correo electrónico.

Artículos relacionados  Cómo solucionar el error 'Deny: UTM Blocked' por 'no correct FortiGuard information' en los registros de filtro web de Fortinet

** Ejemplo de log de error de FortiGate relacionado con este problema:

2023-11-30 09:48:19 [7990:root:16]login_failed:452 user[administrator@testcom], auth_type=16 failed [sslvpn_login_permission_denied]

Este log indica que el usuario no fue encontrado en el grupo LDAP y debe verificarse la configuración.

¿Te ha resultado útil??

0 / 0

Deja una respuesta 0

Your email address will not be published. Required fields are marked *