Solución de problemas generales para FSSO

Descripción:

Este artículo describe sugerencias generales para la solución de problemas de FSSO.

Alcance

FortiGate, FSSO.

Solución

Al instalar, configurar y trabajar con FSSO, algunos problemas son bastante comunes.

A continuación se incluye una selección de estos problemas, incluidas explicaciones y soluciones.

Los siguientes consejos son útiles en muchas situaciones de solución de problemas de FSSO.

  • Asegúrese de que todos los firewalls permitan el paso de los puertos requeridos por FSSO.
    FSSO tiene una cantidad de puertos requeridos que deben permitirse a través de todos los firewalls o las conexiones fallarán. Estos incluyen: puertos 139, 389 (LDAP), 445, 636 (LDAP) 8000 y 8002.
  • Asegúrese de que el agente del recopilador tenga al menos un ancho de banda de 64 kbps para FortiGate.
    Si no, el agente del recopilador no tiene esta cantidad de ancho de banda, es posible que la información del FSSO no llegue a la unidad FortiGate, lo que provocará interrupciones.

La mejor solución es configurar el modelado del tráfico entre FortiGate y el agente Collector para garantizar que el ancho de banda mínimo esté siempre disponible.

Los siguientes escenarios pueden surgir al solucionar problemas relacionados con FSSO:

Los usuarios de una computadora en particular (dirección IP) no pueden acceder a la red

El agente del controlador de dominio de Windows AD obtiene el nombre de usuario y la estación de trabajo de donde proviene el intento de inicio de sesión.

Artículos relacionados  Consejo técnico: nca_s_fault_access_denied

Si hay dos computadoras con la misma dirección IP y el mismo usuario que intenta iniciar sesión, es posible que el sistema de autenticación se confunda y crea que el usuario de la computadora_1 en realidad está tratando de acceder a la computadora_2.

Windows AD no realiza un seguimiento cuando un usuario cierra la sesión.

Es posible que un usuario cierre sesión en una computadora e inicie sesión inmediatamente en una segunda computadora mientras el sistema todavía cree que el usuario está conectado en la computadora original.

Si bien esto está permitido, la información destinada a la sesión en una computadora puede terminar yendo por error a la otra computadora.

El resultado sería similar a una sesión secuestrada.

La solución a la consulta anterior puede ser:

  • Asegúrese de que cada computadora tenga direcciones IP separadas.
  • Anime a los usuarios a cerrar sesión en una máquina antes de iniciar sesión en otra máquina.
  • Si varios usuarios tienen el mismo nombre de usuario, cambie los nombres de usuario para que sean únicos.
  • Reduzca el tiempo de espera para eliminar las sesiones inactivas después de un tiempo más corto.

Los usuarios invitados no tienen acceso a la red

Se creó un grupo de usuarios invitados, pero no tienen acceso.

La solución a la consulta anterior puede ser:

  • El grupo de usuarios invitados no se incluyó en una política, por lo que no se incluye en la cuenta de invitado. Para darles acceso, asocie su grupo con una política de seguridad.
  • Además, hay un grupo predeterminado llamado  SSO_Guest_Users . Asegúrese de que el grupo sea parte de una política de seguridad basada en identidad para permitir el tráfico.
Artículos relacionados  Prueba de puntada de automatización relacionada con el registro de eventos

No se puede encontrar el servicio DCagent

El servicio DCagent no se puede encontrar en la lista de servicios regulares de Windows.

Esto se debe a que no tiene un servicio de Windows asociado.

En cambio, DCagent es realmente dcagent.dll y se encuentra en la carpeta Windowssystem32.

Este archivo DLL se carga cuando se inicia Windows e intercepta todos los eventos de inicio de sesión procesados ​​por el controlador de dominio para enviar estos eventos al agente recopilador (CA).

La solución a la consulta anterior puede ser:

Para verificar que el DCagent está instalado correctamente

  • Compruebe que DCagent.dll existe en la carpeta Windowssystem32.
  • Compruebe que la clave de registro. existe:  [HKEY_LOCAL_MACHINESOFTWAREFortinetFSAEdcagent]
    • Si ambos existen, DCagent está correctamente instalado.

Eventos de inicio de sesión de usuario no recibidos por el agente recopilador de FSSO

Cuando aparece un diálogo de advertencia en la pantalla de la computadora del agente de Collector, el agente de Collector no recibirá ningún evento de inicio de sesión.

Una vez que se haya cerrado el diálogo, se reanudará el funcionamiento normal.

Si el modo de sondeo está habilitado, es posible que el intervalo de sondeo sea demasiado grande.

Utilice un intervalo de sondeo más corto para asegurarse de que el agente recopilador capture todos los eventos de inicio de sesión.

Si el modo de sondeo de NetAPI está habilitado, considere cambiar a Registros de eventos o Registros de eventos mediante el sondeo WMI, ya que proporciona una mayor precisión.

Los usuarios de Mac OS X no pueden acceder a recursos externos después de salir del modo de suspensión

Cuando las computadoras cliente que ejecutan Mac OS X (10.6.X y superior) se activan desde el modo de suspensión, el usuario debe autenticarse nuevamente para poder acceder a los recursos externos.

Artículos relacionados  Webhook de discordia para los puntos de automatización de Security Fabric

Si el usuario no vuelve a autenticarse, mantendrá el acceso a los sitios web internos, pero no podrá acceder a ningún recurso externo.

Este problema se debe a que Mac OS X no proporciona suficiente información al FSSO.

Esto da como resultado que FortiGate bloquee el acceso al usuario porque no se puede autenticar.

La solución a la consulta anterior puede ser:

Las configuraciones de seguridad en las computadoras cliente deben configurarse para requerir que se ingrese un nombre de usuario y una contraseña al salir del modo de suspensión o del protector de pantalla.

Con esta función habilitada en Mac OS X, FortiGate recibirá la información de autenticación que requiere para autenticar al usuario y permitirle el acceso.

Tenga en cuenta que si el usuario revierte su configuración para deshabilitar el requisito de contraseña, el problema volverá a aparecer.

¿Te ha resultado útil??

0 / 0

Deja una respuesta 0

Your email address will not be published. Required fields are marked *