Foro en Español

Reply
Super Contributor I

Integración ClearPass con FortiAuthenticator y FortiOS

Estimados estoy configurando la integración de ClearPass Policy Manager con Fortinet, sin embargo he encontrado estos inconvenientes, alguien tendría alguna sugerencia? Les paso a explicar la casuistica

 

1. Tengo configurado Mi service con y al revisar el estado de la solicitud del accuting tengo esto: 02 usuarios diferentes con grupos diferentes en el AD

 

gerente.JPG

Tecnologia.JPG

2. Tengo configurado el Rol Mapping en el servicio, para asignar un rol al usuario según el grupo que pertenece. Los cuales si se estan asignando

 

roles.JPGrol_ti.JPGrol-ge.JPG3. En el service para la integración con autenticator, tengo configurado el Accouting Proxy, para que se envie el rol al Authenticator

 

Tips_role.JPG

 

4. Sin embargo, al realizar un sniffer a la red. Observo que ClearPass envia al autenticator el primer rol que recibe como si guardara un cache del primer accouting, lo que hace que el Authenticator asigne el mismo grupo a los usuarios

 

s_gerente.JPG

s_tec.JPG

 

Que podría estar pasando??? Porque el accouting de clearpass no esta obedenciendo al Rol?

 

Sujeto a la guía: CPPM TechNote - 3rd Party Enforcement Points (Fortinet) V1.1

 

Alguna sugerencia?

 

Gracias de antemano

 

Saludos,

 

 

 

Moderator

Re: Integración ClearPass con FortiAuthenticator y FortiOS

Hola

 

En realidad el accounting de Clearpass sí está obedeciendo al rol, lo que te ocurre a tí es que tienes dos roles, Gerencia y [User Authenticated]. Por lo que cuentas, al Forti no parece gustarle eso de estar recibiendo roles separados por comas. ¿Puedes preguntar en el foro de forti si existe forma de escuchar sólo lo que viene antes de la coma? Yo por mi lado voy a investigar un poco más.

 

Un saludo!

 

Samuel

Samuel Pérez
ACMP, ACCP, ACDX#100

---

If I answerd your question, please click on "Accept as Solution".
If you find this post useful, give me kudos for it ;)
Super Contributor I

Re: Integración ClearPass con FortiAuthenticator y FortiOS

Hola Samuel:

 

En realidad los roles que debería enviar clearpass son dos:

Gerencia, [User Authenticated] 

IT, [User Authenticated] 

 

Sin embargo solo envía Gerencia, [User Authenticated] 

 

Porque si logro hacer ello, en el fortiauthenticator si es posible utilizar todo el rol, creando reglas.

 

Saludos,

Moderator

Re: Integración ClearPass con FortiAuthenticator y FortiOS

Da la sensación de que Clearpass estuviera cacheando roles entre una sesión y la siguiente. ¿No tendrás marcado el check de "cache roles and posture attributes" en el enforcement profile? Alguna vez me he dejado eso marcado y me he vuelto loco para encontrarlo...

 

Samuel Pérez
ACMP, ACCP, ACDX#100

---

If I answerd your question, please click on "Accept as Solution".
If you find this post useful, give me kudos for it ;)
Super Contributor I

Re: Integración ClearPass con FortiAuthenticator y FortiOS

Hola Samuel:

 

Si esa opción, ya la he probado habilitada y deshabilitada. Pero aún así clearpass esta haciendo ese caching de la sesión. Creo que voy a tener que aperturar un ticket en TAC :s

 

Saludos,

Moderator

Re: Integración ClearPass con FortiAuthenticator y FortiOS

Sí, me temo que por aquí se nos han acabado las ideas. Eso sí, lo tengas resuelto cuéntanos qué era por favor.

 

Gracias!

Samuel Pérez
ACMP, ACCP, ACDX#100

---

If I answerd your question, please click on "Accept as Solution".
If you find this post useful, give me kudos for it ;)
Search Airheads
cancel
Showing results for 
Search instead for 
Did you mean: