Cómo solucionar problemas de asignación de tokens 2FA a usuarios con Alertmail Debug en Fortinet

Este artículo aborda un problema común relacionado con la configuración de Alertmail durante la implementación de la Autenticación de Dos Factores (2FA) en un usuario de FortiGate. La correcta configuración de esta autenticación es vital para la seguridad de la información, y este artículo proporciona una guía paso a paso para resolver posibles errores en el proceso.

Descripción del problema

Al asignar la Autenticación de Dos Factores (2FA) a un usuario en FortiGate, es posible que el sistema no envíe correctamente el correo de activación. Esto puede generar confusión y retrasos en la implementación de medidas de seguridad críticas.

Alcance

Este artículo se centra en los sistemas que operan bajo FortiOS, proporcionando soluciones específicas para el entorno de FortiGate.

Diagnóstico paso a paso

A continuación, se detallan los pasos que debe seguir para diagnosticar y resolver problemas al enviar Alertmail:

• Revise la configuración del servicio de correo electrónico para asegurarse de que esté debidamente configurado para el envío de Alertmail.
• Ejecute los comandos de depuración en la CLI de FortiGate para identificar problemas específicos.

Solución recomendada

Realice los siguientes pasos para configurar correctamente el envío de Alertmail:

Revise la Configuración del Servicio de Correo Electrónico:
Asegúrese de que el servicio de correo esté configurado correctamente para enviar Alertmail.

Ejecute los siguientes comandos de depuración en la CLI de FortiGate:

diag debug reset

diag debug disable

diag debug console timestamp en

diag debug app alertmail -1

diag debug en

Active 2FA para el Usuario:

• Active la Autenticación de Dos Factores (2FA) para el usuario empleado.
• Asigne el token al perfil del usuario.

Salida de depuración:
Confirmación de un proceso exitoso.

===================================================================================

# 2024-12-01 22:07:12 Arrived msg(type 8, 807 bytes):[email protected]
/data2/tmp/ftm_qr_FTKMOB217FC5EC3A.png
FTM Activation on FortiGate
Welcome to FortiToken Mobile – One-Time-Password software token.
Please visit https://docs.fortinet.com/ftoken.html
for instructions on how to install your FortiToken Mobile application on your device and activate your token.
You must use FortiToken Mobile version 2 or above to activate this token.
Your Activation Code, which you will need to enter on your device later, is

«EEIB7APWKDAWA7SD»

Alternatively, use the attached QR code image to activate your token with the «Scan Barcode» feature of the app.
You must activate your token by:
Wed Dec 4 22:07:12 2024 (GMT-8:00) US/Pacific,
after which you will need to contact your system administrator to
re-enable your activation.

FortiGate

2024-12-01 22:07:12 mail_info:
from:mnlserver.manila.com user:[email protected]
2024-12-01 22:07:12 mail_info:
reverse path:[email protected]
user name:mnlemployee
2024-12-01 22:07:12 to[0]:[email protected]
2024-12-01 22:07:12 <==_init_mail_info
2024-12-01 22:07:12 create session
2024-12-01 22:07:12 resolve mnlserver.manila.com to 1 IP
2024-12-01 22:07:12 ==> send mail
2024-12-01 22:07:12 connecting to 10.47.2.52 port 25
2024-12-01 22:07:12 send mail 0xea0e260 session 0xea11920
2024-12-01 22:07:12 session: 0xea11920, rsp_state: greeting, code: 220
2024-12-01 22:07:12 session: 0xea11920, rsp_state: ehlo, code: 250
2024-12-01 22:07:12 session: 0xea11920, rsp_state: mail, code: 250
2024-12-01 22:07:12 session: 0xea11920, rsp_state: rcpt, code: 250
2024-12-01 22:07:12 session: 0xea11920, rsp_state: data, code: 354
2024-12-01 22:07:12 session: 0xea11920, rsp_state: data2, code: 250
2024-12-01 22:07:12 session: 0xea11920, rsp_state: quit, code: 221
2024-12-01 22:07:12 session finined
2024-12-01 22:07:12 _session_on_destroy
2024-12-01 22:07:12 <== send mail success, m = 0xea0e260 s = 0xea11920

===================================================================================

Ejemplo de salida de correo electrónico: