Forum

FortiGate AD Authen...
 
Bildirimler
Hepsini Temizle

FortiGate AD Authentication Timeout Süresi

5 Yazılar
3 Üyeler
0 Reactions
2,853 Görüntüleme
(@KayhanALTUN)
Gönderiler: 131
Estimable Member
Konu başlatıcı
 

FortiGate 110C v5 build0228 ile Active Directory servisini entegre ettim fakat çözemediğim bir bölüm var.

FSSO aracındaki Dead entry timeout interval (minutes) bölümünü 900 (15 saat) yapıyorum. Bu değer ile kişi gündüz vakti bilgisayarını ne zaman açarsa açsın gece timout oluyor ve sabah tekrar (bilgisayarını kapatmayı unutmazsa) bilgisayarını açarak login ile süreç tekrar başlıyor. Böylelikle işlemde sıkıntı olmadığından internette kesinti veya yetki sorunu olmuyor.

Ancak bazı bilgisayarlarda admin (FSSO ile izlenen bir hesap) ile oturum açıyorum ya da uzak bağlantı ile servera admin ile bağlanıyorum. Admin kullanıcısı oturum açtığı her bilgisayarda 15 saat login olmuş gibi oluyor. Admin oturumunu kapatsam dahi FSSO oturumu 15 saat sonra timeout yapıyor. Bu sorundan dolayı personelin bilgisayarından ayrıldığımda bu personelin bilgisayarında FortiGate tarafında hem user hemde admin hesabı oturum açmış gibi görülüyor. (Admini kapatmama rağmen).

Admin hesabı o bilgisayarda 15 saat sonra timeout olduğu ve bu sürede admin hesabının yetkisi daha üst policy de olduğu için personel user yerine admin kurallarına göre nete çıkıyor.

FSSO da belirli bir kullanıcının timeout süresini ayrı ayarlayabiliyor muyuz? veya Clear Cache gibi sadece o hesabın cache değerini sıfırlayabiliyor muyuz? Yada oturum kapatıldığında otomatik olarak timout olması için bir ayar var mı?

Kısaca amacım belli bir hesabın (admin gibi) bir bilgisayarda oturumunu kapattıktan sonra FSSO ve Fortigate monitörden o bilgisayar için düşmesi. (kısa bir süre sonra da olabilir)

 
Gönderildi : 09/10/2013 20:42

(@vasviuysal)
Gönderiler: 7890
Üye
 

hocam user -> monitor -> firewall menusu altında logged on userlar gorunuyor

ldap auth ile kuşllanılan bir sistemde ben bu tip durumlarda manuel olarak oradan düşürüyorum kullanıcı yetkilendirmesini 

 
Gönderildi : 09/10/2013 20:57

(@KayhanALTUN)
Gönderiler: 131
Estimable Member
Konu başlatıcı
 

İlginiz için teşekkürler. 

User-Device/Monitor/Firewall bölümünde

Sağ üstte "Show all FSSO Logons" checkboxını işaretlediğimde LDAP kullanıcılarını görebiliyorum, fakat buradan seçim yapıp düşüm yapamıyorum.

Usera sağ tıkladığımda "De-authenticate" çıkıyor fakat bu buton LDAP userlarında pasif olduğu için tıklanmıyor.

Ayrıca tüm login olmuş tüm LDAP userlarını "Show all FSSO Logons" tıklamadan göremiyorum, buda ayrı bir sorunum. Tıklamadığımda sadece fortigate de local olarak oluşturulan userlar görünüyor ve onları logout yapabiliyorum.

fw v4 de böyle bir durum yoktu, dediğiniz gibi düşebiliyorduk. v5 e geçtiğimde bu sorunla karşılaştım.

 
Gönderildi : 10/10/2013 03:07

(@hakanyilmaz)
Gönderiler: 9
Active Member
 

1.     diagnose debug authd fsso filter user
<user-name>

diagnose debug authd fsso filter //komutu yardımıyla User, Group, Server, Source kriterlerine göre filtreleme yaparak aşağıdaki komut ile ilgili authentcate’i sonlandırabilirsin. İstersen tüm kullanıcılar için diagnose debug authd fsso filter clear //komutunu tek sefer tüm kullanıcı De-Authenticate yapmak adına kullanabilirsin.


diagnose
debug authd fsso clear-logons

Forti' nin söylediği işlem bu şekilde fakat gel gör ki bu da bende bir işe yaramadı:)) 

 
Gönderildi : 30/12/2013 13:08

(@hakanyilmaz)
Gönderiler: 9
Active Member
 

hocam user -> monitor -> firewall menusu altında logged on userlar gorunuyor

ldap auth ile kuşllanılan bir sistemde ben bu tip durumlarda manuel olarak oradan düşürüyorum kullanıcı yetkilendirmesini 

 

Forti OS 5' de manuel olarak gerçekleştirilemiyor malesef. Bu konuyu fortinet' e bildirmek lazım. 

 
Gönderildi : 30/12/2013 13:10

Paylaş: