El presente artículo aborda un error común en FortiGate relacionado con el mensaje: ‘El usuario del certificado no tiene acceso global’. Este problema se presenta especialmente en configuraciones de múltiples inquilinos con EMS y puede comprometer la funcionalidad de gestión y seguridad de su red. A continuación, se presentarán pasos para diagnosticar y solucionar este error, permitiendo una configuración y sincronización óptimas de su dispositivo FortiGate.
Índice
Descripción del problema
El error ‘Certificate user does not have access to global’ ocurre cuando el FortiGate está configurado de manera incorrecta en un entorno de múltiples inquilinos. Específicamente, esto sucede cuando se utiliza un nombre de dominio global en lugar del nombre de dominio específico del inquilino, lo que crea problemas de acceso a la configuración adecuada de EMS.
Alcance
Este artículo es aplicable a dispositivos FortiGate que están funcionando con el módulo EMS en un modo de múltiples inquilinos.
Diagnóstico paso a paso
Para diagnosticar el error, se pueden utilizar los siguientes comandos de depuración en el CLI:
Comandos de depuración:
diagnose debug reset
diagnose debug application fcnacd -1
diagnose debug console timestamp enable
diagnose debug enable
Solución recomendada
El mensaje de error anterior sugiere que EMS está configurado en modo de múltiples inquilinos, pero FortiGate no tiene el nombre de dominio correcto configurado. Asegúrese de usar el siguiente formato al especificar el nombre de dominio:
<nombre-del-inquilino>.<nombre-de-dominio-global>
En el siguiente ejemplo, el servidor EMS se configuro en modo de múltiples inquilinos. Cuando la multitenencia está habilitada, hay dos sitios: global y predeterminado. El sitio configurado se denomina ‘oficina’.
Ejemplo de configuración
Para crear un conector de trama con el inquilino ‘oficina’, el nombre de dominio correcto sería ‘office.ems.fortinet.com’. A continuación se ejemplifica la configuración:
Comandos CLI utilizados
A continuación se presentan comandos adicionales que pueden ser de utilidad en el proceso de solución de problemas:
- diagnose debug reset: Reinicia la sesión de depuración, asegurando que se eliminen cualquier mensaje anterior.
- diagnose debug application fcnacd -1: Inicia la depuración de la aplicación fcnacd, permitiendo revisar la comunicación entre EMS y FortiGate.
- diagnose debug console timestamp enable: Activa las marcas de tiempo en la salida de depuración, facilitando un análisis más claro de los logs.
- diagnose debug enable: Habilita la depuración para que se pueda realizar un seguimiento de la actividad del sistema.
Buenas prácticas y recomendaciones
Al configurar EMS en un entorno de múltiples inquilinos, considere las siguientes recomendaciones:
- Verifique que FortiGate pueda resolver el subdominio correctamente.
- Asegúrese de que el nombre de dominio tenga el formato correcto, incluyendo el nombre del inquilino seguido por el nombre de dominio global.
- Mantenga siempre el firmware de FortiGate actualizado para evitar problemas de compatibilidad.
Notas adicionales
Si después de seguir estos pasos el error persiste, considere reiniciar tanto el FortiGate como el servidor EMS, y verifique la conectividad de red entre ambos dispositivos. Además, consulte la documentación de Fortinet para obtener más detalles sobre configuraciones y actualizaciones específicas.
¿Te ha resultado útil??
0 / 0
Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.
¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!