Autenticación por usuario y no por maquina

Question

Buen día,

Actualmente se tiene directorio activo en windows server 2016, procolo LDAP, tenemos implementado el fsso de fortigate para el uso de perfiles de navegación, tambien se tiene RADIUS para el uso de autenticación en redes wifi.

El problema se presenta en la autenticación y validación de usuarios contra el fortigate, se evidencia que la autenticación en varios casos se realiza por nombre de maquina y no por usuario, por lo tanto muchas veces se presenta problemas de navegación ya que el perfil de navegación está asociado a un usuario no a una maquina.

De qué manera debo validar que la autenticación se esté realizando por usuario y no por maquina, en el grupo RADIUS es cierto que tenemos maquinas, pero hemos estado realizando pruebas con usuarios, retirando las maquinas y que obligatoriamente autentique por usuario al iniciar sesión, pero tampoco asocia el perfil de navegación.

Quedo atento si puedo brindar más información

Answer 1

¡Hola Juan Jose Rojas Rodriguez!

Bienvenido a Microsoft Q&A.

Entiendo que estás enfrentando problemas con la autenticación en Fortigate, donde en algunos casos se realiza por nombre de máquina en lugar de por usuario, lo que afecta los perfiles de navegación. Aquí hay algunas sugerencias para asegurarte de que la autenticación se realice por usuario y no por máquina:

Configuración del servidor RADIUS:

Asegúrate de que el servidor RADIUS esté configurado para autenticar usuarios y no máquinas. Esto puede implicar revisar las políticas de red y las configuraciones de grupo en el servidor RADIUS para asegurarte de que solo los usuarios sean autenticados.

Configuración del Fortigate:

Verifica que el Fortigate esté configurado correctamente para usar el servidor RADIUS para la autenticación de usuarios. Puedes revisar la configuración del Fortigate para asegurarte de que esté utilizando el servidor RADIUS de manera adecuada. Aquí hay un ejemplo de cómo configurar el Fortigate para usar un servidor RADIUS.

LDAP y FSSO:

Asegúrate de que el Fortigate esté correctamente configurado para usar LDAP y FSSO (Fortinet Single Sign-On) para la autenticación de usuarios. Esto puede implicar revisar la configuración del servidor LDAP y asegurarte de que los usuarios estén correctamente mapeados en el Fortigate.

Pruebas y validación:

Realiza pruebas para asegurarte de que la autenticación se esté realizando por usuario. Esto puede implicar retirar las máquinas del grupo RADIUS y realizar pruebas con usuarios para asegurarte de que la autenticación se realice correctamente.

Documentación y recursos adicionales:

Puedes consultar la documentación técnica de Fortinet para obtener más detalles sobre cómo configurar la autenticación en Fortigate usando RADIUS y LDAP.

Espero que estos consejos ayuden a resolver el problema. Si necesitas más asistencia, estoy a tu disposición.

Saludos,

Jonathan.

----------*

Tu opinión es muy importante para nosotros! Si esta respuesta resolvió tu consulta, por favor haz clic en 'SÍ'. Esto nos ayuda a mejorar continuamente la calidad y relevancia de nuestras soluciones.

Answer 2

Hola Juan Jose Rojas Rodriguez,

El propósito de este mensaje es verificar la información proporcionada. Si tienes más actualizaciones sobre este tema, no dudes en responder en este mismo hilo.

Respetuosamente,

Jonathan

---------

Tu opinión es muy importante para nosotros! Si esta respuesta resolvió tu consulta, por favor haz clic en ‘Sí’. Esto nos ayuda a mejorar continuamente la calidad y relevancia de nuestras soluciones. ¡Gracias por tu colaboración!

Answer 3

Buenas noches Jonathan, agradezco mucho tu respuesta.

Voy a validar todos los puntos que mencionas nuevamente, en especial la configuración del NPS - RADIUS. Para la conexión wireless está configurado windows groups por lo tanto autentica maquinas y usuarios, con algunos usuarios que se ha realizado las pruebas eliminando la maquina y dejando solo el usuario ha funcionado, en otros no, continúa la afectación en el perfil de navegación cada cierto tiempo, el fsso no lo reconoce.
En el visor de eventos si veo demasiados tanto en el Network policy and acces services como en security los logs de autenticación iniciado por el dominio\NombreMaquina seguido de un $. En otros logs si aparece dominio\usuario.

Las configuración del LDAP Y RADIUS desde fortigate apuntan al servidor correcto.

Es curioso como actualmente funcionamos, la verdad, la mayoria de maquinas están en el grupo de RADIUS para la wifi, pero aún así en un 90 % el fortigate toma los perfiles de navegación de cada usuario independientemente que seá la maquina que esté en el grupo, pero ese 10 % cada tantos días hay que "forzarle politicas, cerrarle sesión, reiniciarle el equipo" una y otra vez hasta que autentica.

Answer 4

Gracias Juan Jose Rojas Rodriguez por compartir más detalles. Entiendo que estás enfrentando un problema intermitente con la autenticación y el reconocimiento de perfiles de navegación en tu red.

Aquí hay algunos puntos a considerar:

1. Logs de Autenticación: El hecho de que veas logs de autenticación iniciados por dominio\NombreMaquina$ sugiere que las máquinas están intentando autenticarse. Esto puede ser normal, pero si los usuarios no están siendo reconocidos correctamente, podría ser útil revisar las políticas de autenticación en el NPS y asegurarte de que las reglas para usuarios y máquinas estén configuradas adecuadamente.
2. Configuración del LDAP y RADIUS: Según la imagen que has compartido, parece que las configuraciones de LDAP y RADIUS están correctas y ambas muestran un estado de conexión "Successful". Sin embargo, asegúrate de que no haya configuraciones adicionales en el Fortigate que puedan estar afectando la autenticación.
3. FSSO (Fortinet Single Sign-On): Si el FSSO no está reconociendo a los usuarios correctamente, podría ser útil revisar la configuración del agente FSSO en los controladores de dominio y asegurarte de que esté sincronizando correctamente con el Fortigate. También, verifica que los grupos de usuarios en el Active Directory estén correctamente mapeados en el Fortigate.
4. Políticas de Red: Dado que mencionas que el problema afecta a un 10% de las máquinas de manera intermitente, podría ser útil revisar las políticas de red y asegurarte de que no haya conflictos o reglas que puedan estar causando estos problemas. A veces, las políticas de tiempo de espera o las configuraciones de reautenticación pueden causar problemas intermitentes.
5. Pruebas Adicionales: Podrías intentar realizar pruebas adicionales con diferentes configuraciones de usuarios y máquinas para identificar patrones específicos que puedan estar causando el problema. Por ejemplo, probar con diferentes grupos de usuarios o diferentes configuraciones de red.

Espero que estos consejos ayuden a resolver el problema. Si necesitas más asistencia, estoy a tu disposición.

Saludos,

Jonathan.

----------*

Tu opinión es muy importante para nosotros! Si esta respuesta resolvió tu consulta, por favor haz clic en 'SÍ'. Esto nos ayuda a mejorar continuamente la calidad y relevancia de nuestras soluciones.