Fortinetthai.com

Fortinet Products => Fortigate => ข้อความที่เริ่มโดย: rampace1307 ที่ 09 ม.ค. 19, 11:20:39น.

หัวข้อ: สอบถามแนวทางแก้ไขหน่อยครับ
เริ่มหัวข้อโดย: rampace1307 ที่ 09 ม.ค. 19, 11:20:39น.
สอบถามวิธีการแก้ไขครับ
ปัญหาคือผมใช้ fortigate sync ชื่อ กับ AD (ใช้ตัว fotinet single sign on..)
แต่มันมีปัญหาบ่อยคือ ระบบมันไม่sync user ad ให้
เช่น บางuser อยู่ใน rule executive ที่ เข้าได้ทุกเวป
แต่ก็หลุดไปอยู่ rule ที่ block all web (rule block all นี้อยู่ใต้ rule executive )
ต้องปิดเปิดเครื่องใหม่ restart ไม่ได้หาย ครับ
**เป็นบาง user และไม่ได้เป็นประจำ
** fortigate 60E
** v5.4.1,build5577
หัวข้อ: Re: สอบถามแนวทางแก้ไขหน่อยครับ
เริ่มหัวข้อโดย: earth ที่ 09 ม.ค. 19, 11:34:55น.
ถ้าอย่างนั้ันให้ลองปรับค่าเวลา  ตามในรูปนี้เลยครับ ของตัว Agent ให้ระยะเวลานานหน่อย เพื่อยืดระยะเวลา ให้แตกต่างจะค่า Default ในรูปจะปรับเป็น 600 Minute และ 600 Second


(https://lh3.googleusercontent.com/Ud0MAXXPBJmq0oB2NLGCiD3y5kUCvNebGLEVacqICbqt3HobWF0_xZtRVew3BJQ9lsQjfesx0rnemRWHWb431nabSiUGCHIdB2SouMxppP6LiqafhLKB193s8ItBpXXBsPSg1PojgIcC-9aNasagYaJy1BqeeOu2EoYYmk0N3Ox_ZrE34Xc__71kO3BKk5iDUPzmCKGYskJZNuzlJxBx_fYJYPeTgvTYEOEh6Rljwp-34UgApeiDMCSZN30tQfqQOlE4XlCj5Xh6OdcZudqbsTgVLMAJJXtp8rJzResxxLAd54Sli5UW-WlH8vifdANk4pEKgCjW4qwYufulna8kkn3capYy0IoD5LfV6AeReXe_785KM6Nn0NWu5f6FUDU3V3pRlhRSyzS-btmXl8u4LlxZmS87cUJksd9-rhPptmU7elLtg7sNV9WCiH8DfMKTnpGwE00xzvdL126M12V7Okc7AqkGDsHWmqg1FWpl1Jels4g3v1Ilboop0qpi4n8DBNtUelbEr_hJZEIFeGtAGddMsTBLVbHd7Rnnm6wAxffj9fFJ7V02IfLi8oIUWktssn4q3YTclbwZlPZQA-ePYyqrlpFRfijXuRVYaTCClT_HsVU-IgZl5LsRW12FIkAMeTa2uD2IwrSNuM2j9OOjLC5Hsg=w743-h442-no)
หัวข้อ: Re: สอบถามแนวทางแก้ไขหน่อยครับ
เริ่มหัวข้อโดย: rampace1307 ที่ 09 ม.ค. 19, 13:11:11น.
ในหัวข้อ Time ใช่มั๊ยครับ
ขอความรู้หน่อยว่ามัน หมายถึงอะไรหรอครับ

เพิ่มเป็น 800 ทั้ง3 ตัวเลือกได้มั๊ยครับ
หัวข้อ: Re: สอบถามแนวทางแก้ไขหน่อยครับ
เริ่มหัวข้อโดย: earth ที่ 09 ม.ค. 19, 14:55:16น.
นั้นเพิ่มมากๆ ไว้ก่อนก็ดีครับ  เพื่อเพิ่มระยะเวลาการตรวจสอบระหว่างตัว Agent กับ Client ที่ Log in อยู๋ในระบบ

ส่วนรายละเอียดตามนี้ครับ

Workstation verify interval (minutes)
- ป้อนช่วงเวลาของตัว Agent ที่เชื่อมต่อกับ Client เพื่อตรวจสอบว่าผู้ใช้ยังคงอยู่ในระบบอยู่หรือไม่
ค่า default คือทุก 5 นาที  , ช่วงเวลาอาจเพิ่มขึ้นหากปริมาณการใช้งาน traffic ที่มากขึ้นบนเครือข่ายที่ใช้งานอยู่

Dead entry timeout interval
- ป้อนช่วงเวลาหลังจากที่ Agent Single Sign On ล้างข้อมูลสำหรับการเข้าสู่ระบบของผู้ใช้ที่ไม่สามารถตรวจสอบได้
ค่า default คือทุก 480 นาที (8 ชั่วโมง)

- ในส่วนนี้มักจะเกิดขึ้นได้กับ เช่น คอมพิวเตอร์ที่อยู่ใน  Mode Standby หรือถูกตัดการเชื่อมตัดในระบบ
แต่ User ยังไม่ได้ออกจากระบบ สาเหตุที่พบบ่อยคือเมื่อผู้ใช้ลืม log out ออกจากระบบออกก่อนออกจากการใช้งาน

IP change verify interval
- ตัว agent จะตรวจสอบ IP ของผูู้ใช้งาน เป็นระยะๆ  ที่ log in เข้าสู่ระบบ และ update ไปที่ FortiGate
เมื่อ IP มีการเปลี่ยนแปลง.   การตรวจสอบ IP address เพื่อป้องกันไม่ให้ Users จากการถูก lock หากพวกเขาเปลี่ยน IP address
เช่นอาจเกิดขึ้นได้กับ DHCP เป็นตัวหนด

ดูได้จากเอกสารตามลิ้งค์ด้านล่างนี้ครับ
Ref : https://docs.fortinet.com/uploaded/files/2808/fortigate-authentication-54.pdf

(https://lh3.googleusercontent.com/Dck7Ry4x3IcRbrGLZIJW2WkwNWLlqmWZoA4BD4F7zLyQTENU1oB-evoQM-KNquWvm67H6SseZPoOufVNDVPJxGomvsMt0Z2thy6eewsg7IidiP5H3ljj4uUQHEPBBwkHKcAgghHSG-ul6Uv3CIsZf-5k0lMZxJ9uWyq37HdrjaWLUkk-Eyb4ASASRiyEhdJwp_jx5B0fstFPIiKdxxnxlUQadDvNUgkaofZz1AJVB_rNwv8jgUfWCqldnsBsdaXzCh2TfljKRt9XBrynd_7_jtA4KqrNCkzYZuJIOvFD1_sniisjmPRAXrjCZrDT78VYVmirSqEnAF6P6w_Ulk7jgPHNkiDF-UCc3i3SHXHzrzu51FYzcGEKMUK2fmdcXufTruRDx4aWN47DekpoUEFH8v0ARH2T5AQac6zgjWWTf1qgw_8RNBbyWkooSlXbrsO-05NRzpIcnJY_nedhZjeYRF7sJC558hTs4P7dfe-eAnSfIDe-8BnnXBl0RSXH63_NpngFbCzWReOWlohiMN91Vm_LJYRdSvwCQkNjOSeEul9PLNcCNBnd3aL8WkP8Udgig5bu9HwGPdshe5Z5hqqPuDW0hy6luMMH_8TzsJ8oINGsswthQ03qCzAyGTqf5pgF2Gu9Mloq2Itu2jh-9Pp51rRipQ=w461-h596-no)

(https://lh3.googleusercontent.com/7kcyDwuigRhvpdczNixxVs7I9d052sysp0Kfj9dtbYKb91pJ47gxYhg7xPtxvBAv-TjbtRle2jr4BwuQp0Ge6qjQXbGVuhKdPMvMnwW9rVaweZXQjUvvrA4a7uDEac8D43OQQpozL5L5u_48v4IMCBk4MihN0hmv-4w7iTp_Dh2aCi0WkqIlACNzA9hWwmRYWoma4VdmKcwoZ5fqiM3icdS2nh_i1KFdCfqDHzU4BX_fNB9T6ZUP6pmBFtJem9yVjC1Xu_cBvxQa6DytNnOwsGdWgg0kEycONZdZJro5atpmOWHTmgUniOPfHihJboIFBROTutNKOycxK74_slpRNM7EJ_jhB-Bzlm9hSIqkBcyF110CjHwZ2Cc2uCtOissNrj-TllkL4OUPWgiTtXR9naBCxxUanUpNuTwd66Ef3-zBntfxHUHwAe0YYFKHTPPc9Q2FQK-w9to8vcOg_Ou_n3TMwhlJEFO6nIHRVXUyAZQZ_KnMqTNFWeNdH_6P19H1NEx2IwZyWLxBOx3lxdarMYFAuhjTp4szlAA0bAq35qVqvYsPEaQPd-v6MQhVM3JtHkf2WGiRmHgQL_UUHuNe5AstgNoTWMmRmrHIYWVolZt-a5yRLDoKq5QDIXzljeqst5imffC4Rlqe5ZWNoKqiYtymjQ=w463-h599-no)

(https://lh3.googleusercontent.com/h7HytJ48K75QODbNCMxvmJT2kInUKCyev78PInUz-3yL4cMlFa-cwRsOEJdTuyDwFNEGC4-K_KwNElWDiYK2M0HBjcpC1v4KdN9yC9zhkiAS3r4m9b36i_nu_QOBMswGV4a9HPKF1xlk4wHE6NPEb1G_oZKcL59DETfR27YBRyZkLNg3wnS-lSssZ2dRoaOl9e1uZmojD_E_cxucj2PKCTBCDVxrncC0HGroMXRl0fusPM1zZjMo1PiU_azMYg6c5dxgXdh19GwlexFdD-8wR9Ap3wX6qhs6TsJkeAlgS7qQ7jcLvcr6OK7-Vtua1g8lIu61OIvlpe9xriZJAFQnrxZJP2CO05QuHMPJdmYGVt3yeHIf0Ce_swnRsH81PKd9wx2WtFeTjZ-k3LMP366giFALLfuhpTPn_RinMjaNoNg08kRthB5yMnSC7aszGXw86Vno5-T-HfUKOwS4Ol9y19rYH2s-4-Uy5RsK5U5v83QBA2jSe7FG1j35Qi-QUupF7f9yYXu1XC0jpMPe_KfVtqFr9Rxc5RiAIVZAAmVcbwIEr06jRtvP5Ekpx9SP-4W_gUzmylb2LK4ALMmy1KCfmX9iC3-2G17i7cPDl1DcNsKio_uu21EHzI8TV9mDcsRenECOPSNjpZOttHMz0Hy2GavlQw=w461-h598-no)
หัวข้อ: Re: สอบถามแนวทางแก้ไขหน่อยครับ
เริ่มหัวข้อโดย: earth ที่ 09 ม.ค. 19, 15:00:47น.
ถ้ามี AD 2 ตัว หรือ Server 2 เครื่อง
Agent ก็จะต้องติดตั้งไว้ทั้ง 2 เครื่อง ครับ

Single Sign-on  ก็ต้อง setting เชื่อมต่อ ไปที่ Server AD ทั้ง 2 เครื่องด้วยครับ
หัวข้อ: Re: สอบถามแนวทางแก้ไขหน่อยครับ
เริ่มหัวข้อโดย: rampace1307 ที่ 11 ม.ค. 19, 10:18:57น.
ขอบคุณครับ ลองตั้งแล้วเดี่ยวลองดูครับ.