Uwierzytelnienie
Prawie w każdej firmie, użytkownicy, którzy chcą korzystać z zasobów komputera i sieci muszą się najpierw uwierzytelnić. W zależności od wprowadzonej polityki bezpieczeństwa będą mogli mieć pełny dostęp lub tylko częściowy. Nie zależnie od tego jaki posiadamy serwer uwierzytelniający w naszej firmie ASA z modułem CX poradzi sobie bez większych problemów z przepuszczaniem ruchu użytkowników, którzy mają do tego prawo. Metoda uwierzytelniania pozwala na dokładniejszą kontrolę użytkowników przy danej stacji roboczej. Nie musimy już kontrolować danego adresu IP stacji roboczej – możemy filtrowanie realizować poprzez dane wyższego poziomu np. login z domeny AD. Są dwa rodzaje uwierzytelniania: aktywne i pasywne.
Aktywne:
- tylko dla ruchu HTTP, ruch od użytkownika do sieci Web
- w przypadku korzystania z OpenLDAP, jest to jedyny możliwy rodzaj uwierzytelniania
Pasywne:
- dla ruchu wszystkich aplikacji, użytkownik końcowy musi być członkiem domeny Active Directory i musi się do niej zalogować
- uwierzytelnianie to jest wykonywane za pomocą agenta, który zbiera informacje od serwera Active Directory i przekazuje je dalej do ASY i PRSM’a, informacje te mogą dotyczyć nie tylko konkretnego użytkownika ale również całej grupy użytkowników (uwierzytelnienie na podstawie grupy AD)
- wykorzystywane jest przy każdym rodzaju ruchu
Istnieją dwa rodzaje agentów:
- Cisco Active Directory Agent (AD agent)- starszy mechanizm, jest wersją aplikacji Windowsowej, w momencie logowania użytkownik jest sparowany ze stacją roboczą, na której się loguje (a dokładnie z jej adresem IP)
- Context Directory Agent (CDA) jest nową wersją, jest to zupełnie oddzielne urządzenie od ASY- może być wystartowany jako maszyna wirtualna;bardzo przejrzysty w obsłudze
Konfiguracja uwierzytelniania Aktywnego
Jako pierwsze musimy utworzyć i skonfigurować authentication realm – AD realm. Potrzebne jest to do identyfikacji serwerów Active Directory lub LDAP, z których agent AD będzie czerpał informacje o logujących się użytkownikach. AD realm dla Active Directory jest tyko jeden i dołączony jest do domeny.
Konfiguracja:
- wchodzimy do Device->Directory Realm
- z listy rozwijalnej I want to wybieramy Add Realm
- wybieramy nazwę, dla Directory Type wybieramy AD, dla Primary domain wpisujemy naszą domenę, ustawiamy nazwę i hasło np.: Admin haslo
- dla sprawdzenia czy nasze ustawienia są poprawne możemy wykonać test za pomocą guzika Test domain join, jeżeli wszystko jest ok pojawi się napis Connection succeede
- najeżdżamy na Realm box i wybieramy Add New directory
- dla Directory hostname/IP wybieramy ad.przyklad.com
- dla AD login name wybieramy Admin@przyklad.com dla AD password wybieramy haslo
- dla User serach base i Group serach base wybieramy dc=przykład, dc=com
- wybieramy Test connection
Następnie trzeba stworzyć polisy typu Identity, które zapewnią nam kontrolę nad tym kto musi a kto nie się uwierzytelniać.
- wchodzimy w Policy -> najeżdżamy na część Identity i dodajemy Add New Policy
- wybieramy nazwę wymus¬_uwierzytelnienie
- zapisujemy
Może tak się zdarzyć, że będziemy musieli stworzyć specjalny obiekt dla samej ASY i PRSMa, żeby żadne z tych urządzeń nie musiało podlegać autentykacji (mogą mieć problemy z pobieraniem uaktualnień).
- Policy -> Obiekty, Add CX Network group z listy rozwijalnej
- nazwa np. ASA i PRSM
- w Include należy wpisać adresy IP należące do ASY i PRSM’a
- Policy ->Identity
- nazwa np.: Aktualizacje
- Source -> wybieramy nasz obiekty ASA i PRSM
- Action wybieramy Do not require Authentication
- zapisujemy
Jako, że uwierzytelnianie aktywne działa jedynie w stosunku do protokołu HTTP, wszelki inny ruch nie będzie sprawdzany pod tym kątem. Dla sprawdzenia można przeprowadzić test w postaci puszczenia ping’a lub próby wejścia na stronę internetową wykorzystująca https, obie próby powinny się odbyć bez problemu. Przy próbie wejścia np.: www.google.com, powinno pojawić się okienko, w którym będziemy musieli się uwierzytelnić, aby móc wejść na stronę.
Konfiguracja uwierzytelniania Pasywnego:
Opcja pierwsza: Cisco Active Directory Agent
Pierwszą czynnością powinno być zainstalowanie i skonfigurowanie agenta AD na Windows serwerze. Oprogramowanie zawierające agenta AD jest całkowicie oddzielne od samej ASY. Cały proces instancyjny i konfiguracyjny można znaleźć na stronach Cisco agent AD
Opcja druga: CDA Context Directory Agent
Konfiguracja:
- należy dodać serwer AD klikając w Add Active Directory Server, będzie trzeba tam podać nazwę, domenę itd.
- zapisujemy, na stronie głównej powinniśmy zobaczyć Active Directory Server is up (zielony punkt), może to zająć kilka minut
Sprawdzenie:
-
- należy pójść do Mappings -> IP to Identity
- jeżeli jest pusto, należy na innej stacji roboczej zalogować się do domeny, następnie powinno się tu pokazać kto i na jakim IP się uwierzytelnił
- na stronie głównej Home należy w opcji Add Consumer Device(s) należy dodać ASĘ CX i PRISM’a, nazwy, adresy IP i hasło dzielone, robi się to w celu pominięcia uwierzytelniania dla tych urządzeń
- należy też dodać AD agenta Device -> AD agent adres IP i hasło
- na koniec należy sprawdzić czy CX i PRSM się zarejestrowały w zakładce Registered Devices
Trzeba również ustawić w polisach odpowiedni wpis, który pozwoli na korzystanie z takiego uwierzytelniania:
-
- Polices -> Identity
- edytując polisy Identity będzie tam pytanie: Do you want to use active authentication if AD agent can’t identify user? wybieramy Yes
- zapisujemy
- Integracja ASY z Active DirectoryJak można sprawdzić czy to co ustawiliśmy będzie działać?Można tak zmienić tak ustawienia polis, żeby jedna z grup użytkowników miała możliwość ściągania plików z sieci a inne nie. Jeżeli użytkownik należący do konkretnej grupy będzie chciał ściągnąć jakiś program, polisa mu pozwoli albo nie w zależności od grupy do jakiej należy. Np.: dział techniczny -> grupa Administratorzy będą mogli ściągać pliki .exe, a cała reszta użytkowników nie. Należy stworzyć obiekt typu Identity i zaznaczyć z nim grupę Administratorzy a następnie stworzyć polisę typu Access, która będzie zezwalała na ściąganie plików. Żeby sprawdzić jak działa nasza polisa, należy zalogować się jako użytkownik z grupy Administratorzy do domeny a następnie spróbować ściągnąć jakikolwiek plik, nie powinniśmy mieć problemu. Następnie należy się zalogować jako użytkownik innej grupy i też spróbować ściągnąć plik, i tu powinny zadziałać nasze polisy wraz z uwierzytelnianiem i zablokować nam taką możliwość.
To również może Cię zainteresować:
Od samego początku naszej działalności stawialiśmy na profesjonalne podejście do naszych Klientów
Network w liczbach
Od samego początku naszej działalności stawialiśmy na profesjonalne podejście do naszych Klientów