ASA CX Uwierzytelnianie Użytkowników

baza wiedzy Network Expert

Uwierzytelnienie

Prawie w każdej firmie, użytkownicy, którzy chcą korzystać z zasobów komputera i sieci muszą się najpierw uwierzytelnić. W zależności od wprowadzonej polityki bezpieczeństwa będą mogli mieć pełny dostęp lub tylko częściowy. Nie zależnie od tego jaki posiadamy serwer uwierzytelniający w naszej firmie ASA z modułem CX poradzi sobie bez większych problemów z przepuszczaniem ruchu użytkowników, którzy mają do tego prawo. Metoda uwierzytelniania pozwala na dokładniejszą kontrolę użytkowników przy danej stacji roboczej. Nie musimy już kontrolować danego adresu IP stacji roboczej – możemy filtrowanie realizować poprzez dane wyższego poziomu np. login z domeny AD. Są dwa rodzaje uwierzytelniania: aktywne i pasywne.

Aktywne:

  • tylko dla ruchu HTTP, ruch od użytkownika do sieci Web
  • w przypadku korzystania z OpenLDAP, jest to jedyny możliwy rodzaj uwierzytelniania

Pasywne:

  • dla ruchu wszystkich aplikacji, użytkownik końcowy musi być członkiem domeny Active Directory i musi się do niej zalogować
  • uwierzytelnianie to jest wykonywane za pomocą agenta, który zbiera informacje od serwera Active Directory i przekazuje je dalej do ASY i PRSM’a, informacje te mogą dotyczyć nie tylko konkretnego użytkownika ale również całej grupy użytkowników (uwierzytelnienie na podstawie grupy AD)
  • wykorzystywane jest przy każdym rodzaju ruchu

Istnieją dwa rodzaje agentów:

  • Cisco Active Directory Agent (AD agent)- starszy mechanizm, jest wersją aplikacji Windowsowej, w momencie logowania użytkownik jest sparowany ze stacją roboczą, na której się loguje (a dokładnie z jej adresem IP)
  • Context Directory Agent (CDA) jest nową wersją, jest to zupełnie oddzielne urządzenie od ASY- może być wystartowany jako maszyna wirtualna;bardzo przejrzysty w obsłudze

Konfiguracja uwierzytelniania Aktywnego

Jako pierwsze musimy utworzyć i skonfigurować authentication realm – AD realm. Potrzebne jest to do identyfikacji serwerów Active Directory lub LDAP, z których agent AD będzie czerpał informacje o logujących się użytkownikach. AD realm dla Active Directory jest tyko jeden i dołączony jest do domeny.

Konfiguracja:

  1. wchodzimy do Device->Directory Realm
  2. z listy rozwijalnej I want to wybieramy Add Realm
  3. wybieramy nazwę, dla Directory Type wybieramy AD, dla Primary domain wpisujemy naszą domenę, ustawiamy nazwę i hasło np.: Admin haslo
  4. dla sprawdzenia czy nasze ustawienia są poprawne możemy wykonać test za pomocą guzika Test domain join, jeżeli wszystko jest ok pojawi się napis Connection succeede
  5. najeżdżamy na Realm box i wybieramy Add New directory
  6. dla Directory hostname/IP wybieramy ad.przyklad.com
  7. dla AD login name wybieramy Admin@przyklad.com dla AD password wybieramy haslo
  8. dla User serach base i Group serach base wybieramy dc=przykład, dc=com
  9. wybieramy Test connection


Następnie trzeba stworzyć polisy typu Identity, które zapewnią nam kontrolę nad tym kto musi a kto nie się uwierzytelniać.

  1. wchodzimy w Policy -> najeżdżamy na część Identity i dodajemy Add New Policy
  2. wybieramy nazwę wymus¬_uwierzytelnienie
  3. zapisujemy

Może tak się zdarzyć, że będziemy musieli stworzyć specjalny obiekt dla samej ASY i PRSMa, żeby żadne z tych urządzeń nie musiało podlegać autentykacji (mogą mieć problemy z pobieraniem uaktualnień).

  1. Policy -> Obiekty, Add CX Network group z listy rozwijalnej
  2. nazwa np. ASA i PRSM
  3. w Include należy wpisać adresy IP należące do ASY i PRSM’a
  4. Policy ->Identity
  5. nazwa np.: Aktualizacje
  6. Source -> wybieramy nasz obiekty ASA i PRSM
  7. Action wybieramy Do not require Authentication
  8. zapisujemy

Jako, że uwierzytelnianie aktywne działa jedynie w stosunku do protokołu HTTP, wszelki inny ruch nie będzie sprawdzany pod tym kątem. Dla sprawdzenia można przeprowadzić test w postaci puszczenia ping’a lub próby wejścia na stronę internetową wykorzystująca https, obie próby powinny się odbyć bez problemu. Przy próbie wejścia np.: www.google.com, powinno pojawić się okienko, w którym będziemy musieli się uwierzytelnić, aby móc wejść na stronę.

Konfiguracja uwierzytelniania Pasywnego:

Opcja pierwsza: Cisco Active Directory Agent

Pierwszą czynnością powinno być zainstalowanie i skonfigurowanie agenta AD na Windows serwerze. Oprogramowanie zawierające agenta AD jest całkowicie oddzielne od samej ASY. Cały proces instancyjny i konfiguracyjny można znaleźć na stronach Cisco agent AD

Opcja druga: CDA Context Directory Agent

Konfiguracja:

  1. należy dodać serwer AD klikając w Add Active Directory Server, będzie trzeba tam podać nazwę, domenę itd.
  2. zapisujemy, na stronie głównej powinniśmy zobaczyć Active Directory Server is up (zielony punkt), może to zająć kilka minut

Sprawdzenie:

    1. należy pójść do Mappings -> IP to Identity
    2. jeżeli jest pusto, należy na innej stacji roboczej zalogować się do domeny, następnie powinno się tu pokazać kto i na jakim IP się uwierzytelnił
    3. na stronie głównej Home należy w opcji Add Consumer Device(s) należy dodać ASĘ CX i PRISM’a, nazwy, adresy IP i hasło dzielone, robi się to w celu pominięcia uwierzytelniania dla tych urządzeń
    4. należy też dodać AD agenta Device -> AD agent adres IP i hasło
    5. na koniec należy sprawdzić czy CX i PRSM się zarejestrowały w zakładce Registered Devices

    Trzeba również ustawić w polisach odpowiedni wpis, który pozwoli na korzystanie z takiego uwierzytelniania:

    1. Polices -> Identity
    2. edytując polisy Identity będzie tam pytanie: Do you want to use active authentication if AD agent can’t identify user? wybieramy Yes
    3. zapisujemyIntegracja ASY z Active Directory

    Jak można sprawdzić czy to co ustawiliśmy będzie działać?

    Można tak zmienić tak ustawienia polis, żeby jedna z grup użytkowników miała możliwość ściągania plików z sieci a inne nie. Jeżeli użytkownik należący do konkretnej grupy będzie chciał ściągnąć jakiś program, polisa mu pozwoli albo nie w zależności od grupy do jakiej należy. Np.: dział techniczny -> grupa Administratorzy będą mogli ściągać pliki .exe, a cała reszta użytkowników nie. Należy stworzyć obiekt typu Identity i zaznaczyć z nim grupę Administratorzy a następnie stworzyć polisę typu Access, która będzie zezwalała na ściąganie plików. Żeby sprawdzić jak działa nasza polisa, należy zalogować się jako użytkownik z grupy Administratorzy do domeny a następnie spróbować ściągnąć jakikolwiek plik, nie powinniśmy mieć problemu. Następnie należy się zalogować jako użytkownik innej grupy i też spróbować ściągnąć plik, i tu powinny zadziałać nasze polisy wraz z uwierzytelnianiem i zablokować nam taką możliwość.

Od samego początku naszej działalności stawialiśmy na profesjonalne podejście do naszych Klientów

Network w liczbach

0
lat na rynku
0
realizacji
0
Klientów

Od samego początku naszej działalności stawialiśmy na profesjonalne podejście do naszych Klientów

Network w liczbach

0
lat na rynku
0
realizacji
0
Klientów
2019-01-09T14:16:55+00:00