เรื่อง: สอบถามแนวทางแก้ไขหน่อยครับ
 
 8944

My Name: rampace1307 ออฟไลน์
  • ดูรายละเอียด
09 ม.ค. 19, 11:20:39น.
สอบถามวิธีการแก้ไขครับ
ปัญหาคือผมใช้ fortigate sync ชื่อ กับ AD (ใช้ตัว fotinet single sign on..)
แต่มันมีปัญหาบ่อยคือ ระบบมันไม่sync user ad ให้
เช่น บางuser อยู่ใน rule executive ที่ เข้าได้ทุกเวป
แต่ก็หลุดไปอยู่ rule ที่ block all web (rule block all นี้อยู่ใต้ rule executive )
ต้องปิดเปิดเครื่องใหม่ restart ไม่ได้หาย ครับ
**เป็นบาง user และไม่ได้เป็นประจำ
** fortigate 60E
** v5.4.1,build5577

My Name: earth ออฟไลน์
  • ดูรายละเอียด
ตอบกลับ #1 09 ม.ค. 19, 11:34:55น.
ถ้าอย่างนั้ันให้ลองปรับค่าเวลา  ตามในรูปนี้เลยครับ ของตัว Agent ให้ระยะเวลานานหน่อย เพื่อยืดระยะเวลา ให้แตกต่างจะค่า Default ในรูปจะปรับเป็น 600 Minute และ 600 Second



My Name: rampace1307 ออฟไลน์
  • ดูรายละเอียด
ตอบกลับ #2 09 ม.ค. 19, 13:11:11น.
ในหัวข้อ Time ใช่มั๊ยครับ
ขอความรู้หน่อยว่ามัน หมายถึงอะไรหรอครับ

เพิ่มเป็น 800 ทั้ง3 ตัวเลือกได้มั๊ยครับ

My Name: earth ออฟไลน์
  • ดูรายละเอียด
ตอบกลับ #3 09 ม.ค. 19, 14:55:16น.
นั้นเพิ่มมากๆ ไว้ก่อนก็ดีครับ  เพื่อเพิ่มระยะเวลาการตรวจสอบระหว่างตัว Agent กับ Client ที่ Log in อยู๋ในระบบ

ส่วนรายละเอียดตามนี้ครับ

Workstation verify interval (minutes)
- ป้อนช่วงเวลาของตัว Agent ที่เชื่อมต่อกับ Client เพื่อตรวจสอบว่าผู้ใช้ยังคงอยู่ในระบบอยู่หรือไม่
ค่า default คือทุก 5 นาที  , ช่วงเวลาอาจเพิ่มขึ้นหากปริมาณการใช้งาน traffic ที่มากขึ้นบนเครือข่ายที่ใช้งานอยู่

Dead entry timeout interval
- ป้อนช่วงเวลาหลังจากที่ Agent Single Sign On ล้างข้อมูลสำหรับการเข้าสู่ระบบของผู้ใช้ที่ไม่สามารถตรวจสอบได้
ค่า default คือทุก 480 นาที (8 ชั่วโมง)

- ในส่วนนี้มักจะเกิดขึ้นได้กับ เช่น คอมพิวเตอร์ที่อยู่ใน  Mode Standby หรือถูกตัดการเชื่อมตัดในระบบ
แต่ User ยังไม่ได้ออกจากระบบ สาเหตุที่พบบ่อยคือเมื่อผู้ใช้ลืม log out ออกจากระบบออกก่อนออกจากการใช้งาน

IP change verify interval
- ตัว agent จะตรวจสอบ IP ของผูู้ใช้งาน เป็นระยะๆ  ที่ log in เข้าสู่ระบบ และ update ไปที่ FortiGate
เมื่อ IP มีการเปลี่ยนแปลง.   การตรวจสอบ IP address เพื่อป้องกันไม่ให้ Users จากการถูก lock หากพวกเขาเปลี่ยน IP address
เช่นอาจเกิดขึ้นได้กับ DHCP เป็นตัวหนด

ดูได้จากเอกสารตามลิ้งค์ด้านล่างนี้ครับ
Ref : https://docs.fortinet.com/uploaded/files/2808/fortigate-authentication-54.pdf






My Name: earth ออฟไลน์
  • ดูรายละเอียด
ตอบกลับ #4 09 ม.ค. 19, 15:00:47น.
ถ้ามี AD 2 ตัว หรือ Server 2 เครื่อง
Agent ก็จะต้องติดตั้งไว้ทั้ง 2 เครื่อง ครับ

Single Sign-on  ก็ต้อง setting เชื่อมต่อ ไปที่ Server AD ทั้ง 2 เครื่องด้วยครับ
แก้ไขครั้งสุดท้าย: 09 ม.ค. 19, 15:20:10น. โดย earth

My Name: rampace1307 ออฟไลน์
  • ดูรายละเอียด
ตอบกลับ #5 11 ม.ค. 19, 10:18:57น.
ขอบคุณครับ ลองตั้งแล้วเดี่ยวลองดูครับ.