Cómo solucionar el error ‘do_http_validate:440 método (POST) en uri … no permitido’ al conectar a SSL VPN con credenciales SAML

Este artículo aborda el error ‘do_http_validate:440 method (POST) on uri … not allowed’ que puede presentarse al intentar conectarse al túnel SSL VPN mediante credenciales SAML. Este problema es crítico, ya que interfiere con el acceso a la red segura mediante la VPN, lo que puede afectar la productividad y la continuidad del negocio. A continuación, se explicará este error y se ofrecerán posibles soluciones para resolverlo.

Descripción del problema

Al intentar conectarse al túnel SSL VPN utilizando SAML, se puede encontrar el siguiente mensaje de error antes de llegar a la página de inicio de sesión SAML:

image.png

Alcance

Este problema y su solución se aplican a los dispositivos FortiGate y FortiClient.

Diagnóstico paso a paso

Para identificar el problema, habilite el registro de depuración SAML y SSL VPN en FortiGate utilizando los siguientes comandos:

diagnose debug reset

diagnose vpn ssl debug-filter src-addr4 x.x.x.x <--- x.x.x.x = IP pública del endpoint.

diagnose debug application sslvpn -1

diagnose debug application saml -1

diagnose debug enable

Después de ejecutar estos comandos, se puede observar el siguiente mensaje de depuración:

[31038:root:62][fsv_found_saml_server_name_from_auth_lst:128] Found SAML server [FAC_SAML] in group [Test-group]
[31038:root:62]saml login [31038:98] SAML_INFO: Found server 'FAC_SAML' in group 'Test-group'
[31038:root:62]saml login 98 login request
[31038:root:62]saml login 98 metadata: /dev/cmdb/.hidden/sslvpn/tmp/0-FAC_SAML-sp-meta.xml
[31038:root:62]saml login 98 sp pkey:
[31038:root:62]saml login 98 idp metadata: /dev/cmdb/.hidden/sslvpn/tmp/0-FAC_SAML-idp-meta.xml
[31038:root:62]saml login 98 idp entity: http://10.9.10.235/saml-idp/fgtsp/metadata/
[31038:root:61]do_http_validate:440 method (POST) on uri (/test/remote/saml/login) not allowed. <------
[31038:root:61]sslConnGotoNextState:318 error (last state: 1, closeOp: 0)
[31038:root:61]Destroy sconn 0x7f8b6c01e000, connSize=2. (root)
[31038:root:61]SSL state:warning close notify (10.9.10.144)

Solución recomendada

Este error probablemente se deba a la inclusión de la porción del dominio SSL VPN en las URL del SP durante la configuración de SAML. Por diseño, el dominio SSL VPN no se llamará en el intercambio SAML. A continuación, se muestra la configuración SAML en FortiGate:

Artículos relacionados  Cómo resolver el error SNMP 'No Such Instance currently exists at this OID' en dispositivos Fortinet

config user saml

edit "FAC_SAML"

set entity-id "http://10.9.11.6:44343/test/remote/saml/metadata/"

set single-sign-on-url "https://10.9.11.6:44343/test/remote/saml/login"

set single-logout-url "https://10.9.11.6:44343/test/remote/saml/logout"

set idp-entity-id "http://10.9.10.235/saml-idp/fgtsp/metadata/"

set idp-single-sign-on-url "https://10.9.10.235/saml-idp/fgtsp/login/"

set idp-single-logout-url "https://10.9.10.235/saml-idp/fgtsp/logout/"

set idp-cert "REMOTE_Cert_1"

set user-name "username"

set group-name "group"

set digest-method sha1

next

end

Asegúrese de eliminar la parte en rojo de la configuración SAML en ambos lados, SP e IdP. El dominio solo se utiliza para conectarse a diferentes portales SSL VPN y no tiene relación con la configuración SAML.

Comandos CLI utilizados

Esta sección incluye los comandos CLI que se utilizaron para la depuración y solución del problema.

  • diagnose debug reset: Restablece los mensajes de depuración anteriores.
  • diagnose vpn ssl debug-filter src-addr4 x.x.x.x: Establece un filtro de depuración para la dirección IP pública del endpoint.
  • diagnose debug application sslvpn -1: Habilita la depuración de la aplicación SSL VPN.
  • diagnose debug application saml -1: Habilita la depuración de la aplicación SAML.
  • diagnose debug enable: Habilita el modo de depuración.

Buenas prácticas y recomendaciones

Para optimizar la implementación de SAML en su FortiGate, se recomiendan las siguientes prácticas:

  • Siempre verifique la correcta configuración de las URL de SAML, asegurándose de que no contengan información redundante como el dominio SSL VPN.
  • Realice pruebas de conectividad antes de implementar cambios en entornos productivos.
  • Documente todas las configuraciones y cambios realizados para facilitar la solución de problemas futuros.

Notas adicionales

Es importante estar al tanto de las actualizaciones del firmware de FortiGate, ya que pueden introducir mejoras en la funcionalidad SAML y solucionar problemas conocidos. Consulte la documentación oficial de Fortinet para obtener más información y guías detalladas sobre el uso de SAML y SSL VPN.

Artículos relacionados  Cómo solucionar el error de ruta redundante no instalada en la tabla de enrutamiento con eBGP en Fortinet

¿Te ha resultado útil??

0 / 0

Deja una respuesta 0

Your email address will not be published. Required fields are marked *