FortiAuthenticator 6.5.2 to najnowsza wersja oprogramowania dedykowanego dla FortiAuthenticator, zaawansowanego narzędzia do zarządzania uwierzytelnianiem w sieciach. Ta aktualizacja wprowadza szereg nowych funkcji i ulepszeń, które umożliwiają bardziej zaawansowane i efektywne zarządzanie procesem uwierzytelniania. Dzięki temu administratorzy mogą zapewnić bezpieczeństwo i dostęp do sieci w sposób bardziej skuteczny i elastyczny.
Nowe funkcje i ulepszenia:
1. Rozszerzone możliwości uwierzytelniania wielopoziomowego: FortiAuthenticator 6.5.2 wprowadza rozbudowane funkcje uwierzytelniania wielopoziomowego, umożliwiające konfigurację różnych czynników uwierzytelniania, takich jak hasła, kody jednorazowe, certyfikaty, biometria i wiele innych. To daje większą elastyczność w dostosowywaniu procesu uwierzytelniania do wymagań organizacji.
2. Ulepszone zarządzanie tożsamością: Aktualizacja ta wprowadza zaawansowane funkcje zarządzania tożsamością, umożliwiające centralizowane zarządzanie kontami użytkowników, grupami i ich uprawnieniami. Możliwość definiowania zasad dotyczących udostępniania zasobów sieciowych i delegowania uprawnień ułatwia zarządzanie tożsamością w skali organizacji.
3. Rozbudowane możliwości raportowania i analizy: FortiAuthenticator 6.5.2 oferuje rozbudowane narzędzia raportowania i analizy, umożliwiające monitorowanie aktywności uwierzytelniania, identyfikację anomalii i analizę trendów. Wygenerowane raporty i statystyki dostarczają administratorom cennych informacji do podejmowania decyzji dotyczących bezpieczeństwa sieci.
4. Usprawnienia w zakresie obsługi protokołów uwierzytelniania: Aktualizacja ta wprowadza poprawki i ulepszenia w obsłudze różnych protokołów uwierzytelniania, takich jak RADIUS, LDAP, TACACS+ i inne. To zapewnia lepszą kompatybilność i spójność w procesie uwierzytelniania w heterogenicznych środowiskach sieciowych.
5. Integrowane zarządzanie z innymi rozwiązaniami Fortinet: FortiAuthenticator 6.5.2 jest w pełni zintegrowany z innymi produktami Fortinet, takimi jak FortiGate i FortiAnalyzer. To umożliwia scentralizowane zarządzanie politykami bezpieczeństwa, analizę zdarzeń oraz udostępnianie informacji o tożsamości użytkowników w całej infrastrukturze sieciowej.
Rozwiązane problemy:
W FortiAuthenticator 6.5.2 rozwiązano wiele istotnych problemów, co przyczynia się do poprawy stabilności i wydajności oprogramowania. Oto kilka z rozwiązanych problemów:
- Problem z uwierzytelnianiem użytkowników: Naprawiono problem z uwierzytelnianiem użytkowników z wykorzystaniem protokołu RADIUS, który powodował błędy uwierzytelniania w niektórych przypadkach.
- Błąd z odzyskiwaniem hasła: Poprawiono problem z odzyskiwaniem hasła, który uniemożliwiał użytkownikom poprawne zresetowanie hasła w przypadku jego utraty lub zapomnienia.
- Zarządzanie certyfikatami: Naprawiono problem z zarządzaniem certyfikatami, który powodował nieprawidłowe importowanie i zarządzanie certyfikatami w niektórych sytuacjach.
- Błąd w procesie synchronizacji: Poprawiono problem z procesem synchronizacji danych, który powodował nieprawidłową synchronizację i utratę danych w niektórych scenariuszach.
- Zarządzanie dostępem: Naprawiono problem z zarządzaniem dostępem, który powodował błędy przy konfigurowaniu i zarządzaniu politykami dostępu dla użytkowników i grup.
Rozwiązanie tych problemów w FortiAuthenticator 6.5.2 przyczynia się do poprawy działania oprogramowania i zapewnia bardziej stabilne i niezawodne środowisko zarządzania uwierzytelnianiem.
| Bug ID | Description |
|---|---|
| 904022 | Revoked certificates still count against FortiAuthenticator license counts. |
| 910417 | secp256r1 (Elliptic Curve / EC) HTTPS certificate not allowing TLS1_2. |
| 878828 | After a reboot, FortiAuthenticator shows 500 Internal Server Error when synchronizing hardware Tokens. |
| 902466 | OAuth authentication fails when user is administrator on FortiAuthenticator. |
| 861557 | FortiAuthenticator remote user sync rules – Set Group Filter not working if OU has special characters in name, e.g., ( , ) , +. |
| 908291 | FortiAuthenticator does not properly revoke a user certificate. |
| 881296 | SNMP v3 with non-ENG letter pass gives authentication failed. |
| 901259 | Issues accessing FortiAuthenticator via DNAT-ed IP address. |
| 901776 | SAML Logout using POST returns CSRF token missing or incorrect (HTTP 403). |
| 899791 | Radius Attributes option is not visible under local users when logged in with a user having full access set in admin profile. |
| 904790 | In a captive portal, clicking Register then Cancel gives error 404. |
| 848434 | Usability of User Group GUI. |
| 869768 | Unable to delete a user group. |
| 905143 | SAML logout returns Internal Server Error. |
| 808748 | Self-service portal password change fails for remote LDAP users if UPN format is used. |
| 892321 | FortiAuthenticator does not show the list of local users correctly after upgrading to 6.5.0. |
| 890072 | Incorrect warning message when deleting a remote user sync rule. |
| 837728 | Local services cannot use a certificate with >97 character subject length. |
| 892306 | Local users view does not display the complete group name. |
| 850023 | HA Cluster not forming due to differing smartconnect primary key name (upgrade path mismatch, but should work). |
| 884902 | Unable to import 10k plus groups from Azure via SAML in FortiAuthenticator. |
| 862394 | In FortiAuthenticator CLI, a user can change DNS addresses even if we assign No-Access/Read-only admin profile. |
| 901185 | FortiAuthenticator radiusd crashes with complete authentication failure seen with certain high volume EAP traffic patterns. |
| 838976 | Windows log events in FSSO are dropping after some time. |
| 893632 | FortiAuthenticator unable to decode assertion after upgrading to 6.5.0. |
| 899505 | Unable to provision FortiToken Mobiles on FortiAuthenticator 200E/400E/3000E in 6.5.0/6.5.1. |
| 854050 | It takes a long time for FortiAuthenticator to reflect active certificates in the GUI after successful SCEP enrollment request. |
| 892944 | Windows and OWA Agent stopped working after upgrade to 6.5.0. |
| 866392 | FortiAuthenticator GUI/captive portal access freezes/become unresponsive during peak hours. |
| 873050 | 403 Forbidden error while doing SAML authentication after OAuth succeeds. |
| 901109 | WAD-enforced admin/service access rules: Admin access does not apply to the HA admin interface. |
| 878673 | Certificate GUI filter by status times out when there are thousands of revoked certificates. |
| 904049 | The copy button does not work on the 500 error page. |
| 902515 | Device reboots before configuration backup finishes downloading the firmware upgrade. |
| 908157 | Unable to export guest users in Firefox. |
| 906588 | GUI crashes when you click Create New in the Services tab in Authentication >TACACS+ Service > Authorization. |
| 898767 | Use proper and consistent casing for OAuth. |
| 903771 | LDAP user profile view in the self-service portal is broken. |
| 899909 | Exception in the Result window in Self-service > Password Change. |
| 603105 | LDAP user import uses server IP from DB despite browser using/showing unsaved one. |
| 877745 | Javascript errors being thrown by all(?) search filters. |
| 874285 | Unable to use FortiAuthenticator images in System replacement messages. |
| 889196 | SAML sync rule groups input should be disabled when no server is selected. |
| 741765 | REST API /api/v1/tacpluspolicyclient/ endpoint does not recognize policy_name or client_name parameters. |
| 901111 | WAD-enforced admin/service access rules stop applying when the interface IP address is changed. |
| 903356 | Rebooting cluster passive node breaks application of new settings if the role remains unchanged. |
| 903163 | CLI pre-authentication warning is not applied when the setting is only toggled on.
Note: Toggling off works. Changing the warning message may make the CLI pre-authentication warnings to work. |
| 900916 | WAD-enforced admin/service access rule only applies to the first four interfaces; rest still enforced in Python. |
| 865372 | FortiNAC can overwhelm FortiAuthenticator with many TACACS+ logins on the same service account. |
| 887938 | Read-only profile page does not show the correct information. |
| 870942 | Return proper responses to HTTP OPTIONS requests. |
| 891245 | [3rd party component upgrade required for security reasons] FortiAuthenticator – django to 3.2.18 or 4.0.10. |
| 872779 | [3rd party component upgrade required for security reasons] FortiAuthenticator – curl to 8.0.1. |
| 907192 | GUI crash in OAuth authorization when no scope is provided to FortiAuthenticator. |
| 874256 | Failed FIDO token authentication and reauthentication FIDO token using SP SAML portal causes error occurred. |
| 911436 | Clicking Enter during verification field on Account Registration resends the code rather than submitting the code. |
| 897201 | The inbound proxy feature does not work when Get proxy IP from FORWARDED HTTP header is enabled. |
| 907204 | No error message reported when LDAP password reset via email/security question is rejected by the remote LDAP server. |
| 911038 | Remote LDAP user unable to use Smart Connect. |
| 911381 | /api/v1/oauth/verify_token/ request fails for the remote LDAP admin user. |
| 907788 | Upgrading the HA cluster from 6.4.7 GA to latest 6.5.2 build (1315) causes FortiToken Cloud license error in the License widget. |
| 910022 | 403 error when trying to do SAML logout with Use ACS URL from SP authentication request enabled. |
| 904565 | Multiple TACACS+ authentications within a few seconds result in error if the user contains a rule. |
| 868829 | IP lockout not being logged in on FortiAuthenticator logs. |
| 905670 | FortiAuthenticator should not send out authentication requests for disabled TACACS+ users. |
| 861027 | RADIUS attribute name should be only unique within the dictionary, not across all dictionaries. |
| 868836 | TACACS+ failed authentications not counting towards IP lockouts. |
| 894106 | Deleting an OAuth portal triggers 500 Error. |
| 900570 | 400 error when using LDAP custom attribute in the SAML SP initiated login. |
| 876703 | Unable to view supported methods and available fields using /schema at the end of the endpoint. |
| 900124 | User lookup never displays the first few users. |
| 897728 | Inbound proxy settings – GUI allows submitting duplicate values in FORWARDED by values. |
| 898621 | Group membership text is misaligned when there are large number of groups in the SAML session. |
| 787852 | TACACS+ attribute value pair for authorization services shows undefined entries. |
| 850906 | If the user has only an email token for it’s second factor authentication, and the portal has Allow users to temporarily use email token authentication if an email was pre-configured enabled under Fortitoken Revocation, the user should not be able to use Switch to email token authentication. |
| 877815 | SAML IdP IAM button should not be displayed if the SAML IdP portal is disabled. |
| 889706 | FortiAuthenticator Remote user sync rules – Test filter not working if OU has special characters in name, e.g., ( , ) , +. |
| 905076 | Deprovisioning FortiToken Cloud token causes WAD_12 (ftcd crash. |
| 895125 | In SAML IdP and SP login portals, specifying a realm that does not exist triggers 500 error. |
| 901732 | Unable to reset password for remote user on self-service/captive portal. |
| 905391 | FortiAuthenticator as SAML IdP not returning remote LDAP groups in SAML assertions. |
| 884316 | SAML IdP Login Success Page: last login information not shown when the previous IdP session was cleared. |
| 870678 | Recovery password and recovery token fails to send alternative email address. |
| 907162 | FortiToken Cloud status should show service unreachable when unable to reach the ForitToken Cloud server. |
Znane problemy:
W FortiAuthenticator 6.5.2 istnieje kilka znanych problemów, które są aktywnie rozpatrywane przez producenta. Oto kilka z tych problemów:
- Błąd w mechanizmie wyszukiwania użytkowników: W niektórych przypadkach mechanizm wyszukiwania użytkowników może nie działać poprawnie, co może prowadzić do niedokładnych wyników wyszukiwania.
- Błąd w zarządzaniu bazą danych: Istnieje problem z zarządzaniem bazą danych, który może powodować opóźnienia w operacjach związanych z bazą danych, takich jak importowanie, eksportowanie lub synchronizacja danych.
- Problem z integracją z innymi rozwiązaniami: W niektórych przypadkach może występować problem z integracją FortiAuthenticator z innymi rozwiązaniami, takimi jak FortiGate czy FortiAnalyzer, co może wpływać na przesyłanie danych i synchronizację między nimi.
- Błąd w funkcjach raportowania: Istnieje znany problem z funkcjami raportowania, który może prowadzić do nieprawidłowych wyników generowanych raportów lub niewłaściwego wyświetlania danych.
- Błąd w mechanizmie uwierzytelniania wielopoziomowego: W niektórych przypadkach mechanizm uwierzytelniania wielopoziomowego może nie działać poprawnie, co może prowadzić do problemów z autoryzacją użytkowników.
Producent jest świadomy tych problemów i pracuje nad ich rozwiązaniem. W międzyczasie zaleca się monitorowanie dokumentacji producenta w celu uzyskania najnowszych informacji o aktualizacjach i łatach naprawczych, które rozwiązują te problemy.
| Bug ID | Description |
|---|---|
| 899836 | Passwords expires one day earlier than expected. |
| 913981 | Non-admininstrator SAML FIDO authentication ends with error 500. |
| 842886 | Upgrading FortiAuthenticator in HA-LB removes the MAC-address records form the LB node. |
| 766453 | Check the reason for FortiAuthenticator 400E auto reboot. |
| 901379 | HA cluster failover causes FortiAuthenticator to give up on logging. |
| 905593 | Admin username is missing in log details after upgrading. |
| 907286 | FortiAuthenticator LDAP server does not support PW+OTP concatenation for FortiToken Cloud-issued FortiToken Mobile tokens. |
| 908142 | Using Yubikey as OTP second factor increases drift/counter unexpectedly. |
| 909342 | The status of the hardware tokens is „Missing seed” if imported through the serial number file. |
| 908054 | Failing to use certificate for EAP: 'RADIUS EAP certificate has multiple subject alternative name 'DNS’ which is not allowed.’ |
| 891801 | FortiAuthenticator only sends accounting responses in random bursts with large delays. |
| 894888 | User Lookup does not display token information with view-only admin profiles. |
| 908091 | When timezone = GMT, London, user audit report download fails with internal server error 500. |
| 906339 | RADIUS attributes cannot be added to local users via REST API ( Error: local variable 'vendor’ referenced before assignment). |
| 904353 | Daylight saving time (DST) time zone change for Egypt starting end of April. |
| 751108 | FortiAuthenticator does not support admin OIDs from FORTINET-CORE-MIB properly. |
| 646299 | Nutanix AHV KVM based Hypervisor FortiAuthenticator upgrade from 6.0.4 to 6.1.x fails and hangs on Waiting for Database. |
| 900664 | Certificate only smart connect in iOS does not work. |
| 876009 | FortiAuthenticator ignores the groups filtering rules and send all the SSO groups to FortiGate if the FortiGate is configured with FQDN. |
| 801933 | FortiAuthenticator as an LDAP server: log shows LDAP_FAC in the Source IP field. |
| 878854 | Remote LDAP usernames over 255 characters fail to authenticate through the SSL VPN. |
| 897852 | Logs and SNMP trap for loss of LB HA connectivity. |
| 905423 | CRL download URL over http is not available. |
| 756414 | Incorrect Italian translation of Next button displayed on the reset password page. |
| 913354 | Self-device enrollment is broken for FortiToken 300. |
| 890725 | SAML token-only login displays password page instead of the token page. |
| 620127 | Changing from maint-mode-no-sync to maint-mode-sync does not appear to restore syncing. |
| 913854 | Switching between dynamic and static RADIUS attributes for LDAP user groups causes GUI to display an invalid dropdown. |
| 910398 | SAML debugging option Do not return to Service Provider…wait for user input is not working. |
| 908759 | HA LB anomaly for MAC device group membership upon connection. |
| 908753 | Number of Users for MAC device group is always zero. |
| 909099 | Refresh button for widgets gets grayed out for a while after clicking on it and becomes clickable again after a couple of minutes. |
| 781832 | Token bypass is not working for FIDO enabled self-service portal. |
| 871533 | Incorrect FIDO token does not count towards user lockout. |
| 904099 | IAM login link does not work if the SP initiates AuthnRequest with HTTP-POST binding. |
| 905764 | Display filter is not working correctly for pending third party user certificates. |
| 905091 | GUI should not show success message for user change when the FortiToken Cloud provisioning has failed. |
| 876897 | FortiAuthenticator memory usage showing in the widget does not match with memory usage from SNMP (facSysMemUsage). |
| 877432 | Selecting Cloud option for group membership on SAML SP and displays 500 error if we do not select an OAuth server. |
| 755752 | Power supplies show voltage input fault on both CLI and GUI. |
| 816070 | DB issue if the power is down during a short window when booting from factory reset. |
Notatki producenta: FortiAuthenticator 6.5.2
Pozdrawiamy,
Zespół B&B
Bezpieczeństwo w biznesie
