- FortiGate 50E
- v5.4.9,build1202 (GA)
FortigateでFSSOを使用していると最初の認証から8時間経過するとインターネットに接続できなくなる現象が発生します。
ローカルネットワークのホストへは通信が可能ですので、Fortigateがインターネット側へ通信を通さないようです。
そのような状況のときログに以下のような記録が残ります。
- ログ抜粋
action=FSSO-polling-logoff status=success reason="timeout" msg="FSSO-polling-logoff event from xxx.xxx.xxx.xxx: user foo logged off xxx.xxx.xxx.xxx"
action=FSSO-logoff msg="FSSO-logoff event from Local FSSO Agent: user foo logged off xxx.xxx.xxx.xxx"
action=authentication status=logout reason="N/A" msg="User foo succeeded in logout"
どうやらFSSOにはタイマーがあり、最初にFortigateで認証されてから8時間経過すると強制的にログオフされるようです。
FSSO logoff タイマーの設定
「FOOS-polling-logoff timeout」などで検索すると、このページ→ Active Directory timeout? - Fortinet Forumsが引っかかります。
GUIからは設定できそうにないのでコンソールから設定を行います。
config user fsso-polling
edit 1
set logon-history <int> #<-----(0-48, default is 8)
next
end
これでログオフまでの時間の設定が完了です。