En este procedimiento vamos a ver como configurar los usuarios de un dominio en nuestro fortigate, haciendo la administración de usuarios más simple.

Lo primero que vamos a hacer es descargar de la página de Fortinet el software correspondiente a nuestra versión de firmware, se encuentra en la sección de firmware dentro de una carpeta FSAE.

Una vez descargado procedemos con la instalación en nuestro controlador de dominio:

PARTE1 – En el Controlador de dominio

1- Nos da la bienvenida.

fsae1

2- Seleccionamos la carpeta donde se instalará y le damos siguiente para configurar un usuario y un password del dominio.

fsae2

3- Esta opción es importante dejamos todo como se muestra a continación. Es el modo avanzado. Pero a veces dependiendo lo que queramos hacer podemos ir a la función standard dado que es mucho más simple.

fsae3

4- Seleccionamos la IP de donde se ubicará el colector de datos (fortigate) y dejamos el puerto 8002 por defecto.

fsae4

5- Vamos a seleccionar el dominio donde va a funcionar.

fsae6

6- Seleccionamos el dominio en modo “FSAE – DC Agent Mode”, y siguiente y finalizamos.

fsae7

7-Ahora se abre la consola y seleccionamos el nivel de log “Logging” en information. Configuramos una contraseña para hacerlo más seguro en “Password”

forti1

PARTE 2 – En el fortigate

8- Ahora vamos a “user” – “directory service”, creamos una entrada nueva y colocamos el nombre dns o ip de nuestro dominio y colocamos la contraseña que configuramos en el paso anterior.

forti3

9- En “User” – “User Group”, deberíamos ver los grupos que se encuentran en Active directory. Vista a modo de ejemplo, conviene crear un grupo por cada grupo que vemos.

forti4

10- Bien, por último vamos a aplicar las reglas en el firewall. Vamos a firewall y creamos una nueva. Donde vamos a seleccionar la opción “Enable Identity Based Policy” y vamos a agregar los distintos grupo que creamos con sus respectivas opciones.

9-fortipolitica

Saludos

46 Comentarios

  1. Buenas tardes, quisiera saber si hay forma de poder navegar a internet por fortinet sin utilizar el fsso, esto es debido a que el proxy nos esta bloqueando una aplicación del departamento de auditoria y necesitamos poner a navegar el usuario que usa dicha aplicación sin el proxy para que no lo bloquee.

    • Hola Edgar, gracias por comentar. Lo descargas de la web de fortinet, tenes que ingresar con usuario y pass, a la zona de descargas de firmware, dentro de las versiones de firmware esta el fsso que le corresponde. Saludos

  2. Hola,
    Tengo instalado en un FortiGate 100C con la versión v5.2.7 build718 de SO, tengo instalado en 4 controladores de dominio el agente FSSO, en el Forti en la opciones de usuarios & dispositivos – autenticación – FSSO cree el servidor de FSSO, ips, password, etc… despliego los datos del AD por lo tanto entiendo que hay conexión entre ambas partes (FORTIGATE y DC’s) creo un grupo en el AD llamado internet y otro grupo en los usuarios del fortigate, hasta aquí todo bien, cuando voy a la política con la que navegan mis usuarios, le habilito en el desplegable del campo usuario el grupo creado para restringir por grupos de AD, dejan de poder navegar 🙁
    A que puede deberse? donde puedo ver que está sucediendo?

    Gracias

    Gracias

    • Yo tuve un problema similar, necesitaría ver el equipo, acabo de implementar 2 100D que es el reemplazo del que vos tenes, hay que ver como configuraste el FSSO, fijate que cuando lo configuras en el fortigate, te trae los grupos que tenes en el AD, eso te funciona? Si no te propongo verlo en una sesión remota.

  3. te hago una consulta, en la empresa donde trabajo se bloqueo el acceso a internet para algunos usuarios y a pesar de tener o no configurado el proxy del navegador no podian navegar, si se configuraba el proxy del navegador pedia contraseña y si se desactivaba el proxy del navegador mostraba la pagina de bloqueo del fortigate, esto a que se puede deber?, puede ser que el usuario FSAE tenga que ver con este problema, en la configuracion del FSAE aparecia que la contraseña nunca caducaba y estaba destilada la opcion de desblqueo, desbloqueando el FSAE se puede solucionar el inconveniente?

  4. Hola

    Buen dia

    Quiero hacerte una consulta ,

    para una configuracion en polling mode existen dos opiones una es que el fortigate haga el polling y la otra es con un collector agent , cuando instalo el collector agent que configuracion debo aplicar sobre el fortigate para que el software del collector agent me envie los logon .

    gracias

  5. Hola queria hacerte una consulta , tengo entendido que para configuracion en modo polling existe 2 opciones una poner a que el fortigate haga un polling directamente , la otra es installar un controller , en caso de que instale un controller debo aplicar la misma configuracion que se hace para que el fortigate haga polling ?? o en este caso cual seria la diferencia.

    Graccias y saludos

    • Daniel, yo lo configure de 2 formas, ahora mismo lo tengo con el cliente FSAE porque me toma los usuarios del dominio, no recuerdo bien la diferencia, pero si te puedo decir de las opción FSAE, instalas el agente en tus controladores de dominio y lo configuras como se muestra en el tutorial, después debes generar las reglas para darle acceso, yo hice grupos de AD y directamente hago que tome la configuración de ahí.
      Si no podes usar ldap o radius que también ofrecen un buen control y nivel de seguridad.

  6. Buenas tardes Jorge, una pregunta usted sabe que puertos tienen que estar abiertos para que funcione sin problemas las politicas por usuuario, ya que en unas maquinas me aplica sin problema y en otras no.

    • Cristian, que tal? no hay que abrir puertos, las políticas tienen que estar correctamente configuradas tomando bien los usuarios, depende la infraestructura.

  7. buenos dias,

    una consulta se puede instalar el agente FSSO en dos DCs en modo activo Pasivo?

    agradezco su comentario

    Saludos
    Alex Zambrano

  8. Hola. Es posible utilizar el FSAE en 2 dominios con un único Fortigate?? Que tendria que tener en cuenta para configurarlo?? Alguien a tenido problemas con el Windows 8 que le de error de autentificación?? Gracias. Saludos!

    • Hola, no deberías tener problemas con 2 dominios, configuras el agente en cada dc, y luego la configuración en el fortigate, hace la prueba de test a ver si te anda bien cuando hagas la configuración en el fortigate. Con windows 8 no deberías tener problemas es lo mismo que el 7, fijate si no estas configurando las opciones de proxy, y cuando aplicas cambios en las configuraciones los clientes deben reiniciar.
      Te recomiendo hacer la configuración por ldap o al menos probarla. Saludo

  9. Amigo, fijate que ayer por la noche hicimos la instalación del software que amablemente me enviaste y cometimos un error puesto que en Collector Agent IP Address colocamos la dirección del servidor en la cual tenemos instalado el controlador de dominio.

    El caso es que al momento de entrar a la consola de administración del Fortigate 100 D no nos muestra la opción de Directory service.

    ¿Crees que haya sido porque no colocamos la dirección del Fortigate?

    Disculpa tanta molestia.

    Saludos.

    • Hola, es raro, decime que versión de firmaware tiene, porque esa debe estar actualizada también. Y en la parte de “User & Device” tenes que ir a “Authentication” > “Single sign-on”. Ahí creas uno nuevo y configuras tu DC. Avisame como te fue

      • La versión es: 8 x 5 support (Expires: 2013-12-14)

        Fíjate que realicé nuevamente la instalación con la correcta ip en el Ip collector y aún no me muestra la opción de Windows AD.

        No entiendo en qué pude haberme equivocado…

        Gracias por tu ayuda amigo!

        Saludos…

          • Ah, esto esta explicado para la versión 5, igualmente no se llama AD, se llama single sign-on SSO en el fortigate en la parte de autenticacition. Buscalo ahí a ver si aparece.

          • Fíjate amigo que si aparece Single sing-on, pero para serte franco ahí si no sé qué hacer… Podrías indicarme por favor?

          • Bueno, en esa sección agrega uno o crea uno nuevo, y coloca la IP de tu dc o el nombre si tenes dns habilitado, y la clave que tiene el cliente FSSO que esta instalado en tu dc y listo, después vas seguís los puntos a partir del 7. Después te resta crear las reglas y quitar las que esta actualmente. Saludos

  10. Muy buen día amigo, leí tu tutorial y me parece muy bueno, sólo que fijate que he estado buscando el FSAE para un Fortigate 100D que tenemos en la empresa y no lo he encontrado, necesito configurarlo puesto que debemos conectar el AD con el Firewall.

    Por favor podrías indicarme el procedimiento para descargarlo… Te lo agradeceré mucho créeme…

    • Hola, tenes que ingresar a fortinet y darte de alta ahí podes descargar el último para tu equipo junto con el firmaware, si no avisa y te lo consigo. Saludo

      • Gracias por responder amigo, realmente lo aprecio… Fíjate que ya descargué uno pero no me funcionó, descargué la siguiente versión: FSAE_Setup_3.5.047(2).exe

        Hice todo como lo indicas en tu tutorial, pero al momento de ingresar a la consola de administración del Fortigate 100D, no me aparece la opción de: Directory Service.

        Crees que sea por la versión del instalador?

        Agradeceré mucho tu respuesta..

        Saludos!

  11. Jorge, podrias indicarme si hay posibilidad de que Fortinet maneje dos dominios diferentes , es decir el FSAE que pueda agregar los usuarios de no solo un dominiuo sino que de varios. Saludos y te agradeceré muchisimo cualquier ayuda.

    • Alfonso, deberías poder hacerlo, a la hora de instalar la aplicación te da la opción de elegir los controladores de dominio y te detecta los dominios que están disponibles, si no podes hacer varias configuraciones de LDAP, que básicamente es lo mismo pero no requerís fsae. Vas a User&Device > authentication. También dispones de la opción Radius, nunca la use pero se de colegas que lo tienen implementado. Saludo

Dejar respuesta

Please enter your comment!
Please enter your name here