E aew...
Bem, como falamos no último post, um dos questionamentos dos clientes quando configuramos a autenticação LDAP, na sua maioria dos casos vai ser usada para autenticar dispositivos móveis, e se vão ter de autenticar todo dia, e a resposta é: SIM!!
Não tem choro e nem lágrima, o cliente tem que entender que junto com maiores níveis de segurança em seu ambiente, menos praticidade e flexibilidade vão vir no pacote.
O Fortigate possui três tipos de "Timers", são eles:
Idle Timeout: Essa configuração remove a autenticação caso não ocorra tráfego no time configurado, por padrão o time é de 5min, sendo assim se o usuário autenticar e passar 5min sem gerar tráfego a sua sessão será removida. Essa é a configuração padrão.
Hard Timeout: Nessa configuração a sessão vai ser removida após o término do timer configurado, nesse caso a sessão será encerrada independente de tráfego ser gerado ou não. Por padrão, o timer dessa opção é de 5min.
New Session: Nessa configuração o Fortigate vai exibir uma nova tela de logon após 5 min (timer padrão), porém as sessões ja existentes não serão encerradas, se você estiver fazendo um download e se passar o timer configurado o Fortigate vai solicitar novamente a autenticação, porém o seu download não será interrompido.
Depois de entendidas as opções, cabe a você meu pequeno padawan, juntamente com o seu cliente definir a melhor opção.
Depois dessa teoria toda, vamos fazer uma configuração para exemplificar.
OBS: Essa configuração é feita via CLI DarkSide.
Acessa o CLI do teu firewall da forma que você preferir e vamos as configurações.
Aqui podemos ver as opções de configuração.
No nosso exemplo vamos usar o Hard-Timeout.
Agora vamos ajustar o time.
Como podem ver, podemos configurar de 1min a 1440min (24h) e que o valor default é 5min.
Então é isso pessoal.
Aqui finalizamos essa série sobre autenticação. Lembro também que as configurações de LDAP que realizamos e os grupos, também podem ser usados para autenticação SSL_VPN.
Pei Buf!!!
Contato para projetos, serviços e parceiras, click AQUI.
Comments