Forum
Bildirimler
Hepsini Temizle
Fortinet
5
Yazılar
3
Üyeler
0
Reactions
2,724
Görüntüleme
Konu başlatıcı
FortiGate 110C v5 build0228 ile Active Directory servisini entegre ettim fakat çözemediğim bir bölüm var.
FSSO aracındaki Dead entry timeout interval (minutes) bölümünü 900 (15 saat) yapıyorum. Bu değer ile kişi gündüz vakti bilgisayarını ne zaman açarsa açsın gece timout oluyor ve sabah tekrar (bilgisayarını kapatmayı unutmazsa) bilgisayarını açarak login ile süreç tekrar başlıyor. Böylelikle işlemde sıkıntı olmadığından internette kesinti veya yetki sorunu olmuyor.
Ancak bazı bilgisayarlarda admin (FSSO ile izlenen bir hesap) ile oturum açıyorum ya da uzak bağlantı ile servera admin ile bağlanıyorum. Admin kullanıcısı oturum açtığı her bilgisayarda 15 saat login olmuş gibi oluyor. Admin oturumunu kapatsam dahi FSSO oturumu 15 saat sonra timeout yapıyor. Bu sorundan dolayı personelin bilgisayarından ayrıldığımda bu personelin bilgisayarında FortiGate tarafında hem user hemde admin hesabı oturum açmış gibi görülüyor. (Admini kapatmama rağmen).
Admin hesabı o bilgisayarda 15 saat sonra timeout olduğu ve bu sürede admin hesabının yetkisi daha üst policy de olduğu için personel user yerine admin kurallarına göre nete çıkıyor.
FSSO da belirli bir kullanıcının timeout süresini ayrı ayarlayabiliyor muyuz? veya Clear Cache gibi sadece o hesabın cache değerini sıfırlayabiliyor muyuz? Yada oturum kapatıldığında otomatik olarak timout olması için bir ayar var mı?
Kısaca amacım belli bir hesabın (admin gibi) bir bilgisayarda oturumunu kapattıktan sonra FSSO ve Fortigate monitörden o bilgisayar için düşmesi. (kısa bir süre sonra da olabilir)
Gönderildi : 09/10/2013 20:42
hocam user -> monitor -> firewall menusu altında logged on userlar gorunuyor
ldap auth ile kuşllanılan bir sistemde ben bu tip durumlarda manuel olarak oradan düşürüyorum kullanıcı yetkilendirmesini
Gönderildi : 09/10/2013 20:57
Konu başlatıcı
İlginiz için teşekkürler.
User-Device/Monitor/Firewall bölümünde
Sağ üstte "Show all FSSO Logons" checkboxını işaretlediğimde LDAP kullanıcılarını görebiliyorum, fakat buradan seçim yapıp düşüm yapamıyorum.
Usera sağ tıkladığımda "De-authenticate" çıkıyor fakat bu buton LDAP userlarında pasif olduğu için tıklanmıyor.
Ayrıca tüm login olmuş tüm LDAP userlarını "Show all FSSO Logons" tıklamadan göremiyorum, buda ayrı bir sorunum. Tıklamadığımda sadece fortigate de local olarak oluşturulan userlar görünüyor ve onları logout yapabiliyorum.
fw v4 de böyle bir durum yoktu, dediğiniz gibi düşebiliyorduk. v5 e geçtiğimde bu sorunla karşılaştım.
Gönderildi : 10/10/2013 03:07
1. diagnose debug authd fsso filter user
<user-name>
diagnose debug authd fsso filter //komutu yardımıyla User, Group, Server, Source kriterlerine göre filtreleme yaparak aşağıdaki komut ile ilgili authentcate’i sonlandırabilirsin. İstersen tüm kullanıcılar için diagnose debug authd fsso filter clear //komutunu tek sefer tüm kullanıcı De-Authenticate yapmak adına kullanabilirsin.
diagnose
debug authd fsso clear-logons
Forti' nin söylediği işlem bu şekilde fakat gel gör ki bu da bende bir işe yaramadı:))
Gönderildi : 30/12/2013 13:08
hocam user -> monitor -> firewall menusu altında logged on userlar gorunuyor
ldap auth ile kuşllanılan bir sistemde ben bu tip durumlarda manuel olarak oradan düşürüyorum kullanıcı yetkilendirmesini
Forti OS 5' de manuel olarak gerçekleştirilemiyor malesef. Bu konuyu fortinet' e bildirmek lazım.
Gönderildi : 30/12/2013 13:10
