Cómo configurar la autenticación eDirectory y LDAP

Resumen

Una característica clave del cortafuegos de Palo Alto Networks es la asignación de nombres de usuario a direcciones IP. Una vez que el cortafuegos de Palo Alto Networks conoce los nombres asociados con las direcciones IP, el Firewall puede:

• Registrar esta información
• Controlar el tráfico basándose en un nombre de usuario o grupo determinado

El cortafuegos utiliza dos métodos para realizar mapping de direcciones de usuario a IP, autenticación transparente e interactiva.

Este documento analiza la configuración de la autenticación transparente a través de un servidor eDirectory y la autenticación interactiva a través de un servidor LDAP. La discusión está en dos partes:

• Obtención transparente de información de autenticación de usuario de eDirectory
• Uso del servidor LDAP para la autenticación con portal cautivo, SSL VPN o acceso a GUI de Firewall

Antes de iniciar el programa de instalación, recomendamos tener un explorador LDAP local para verificar la configuración del agente de ID de usuario y el cortafuegos de Palo Alto Networks. Los ejemplos de este documento están utilizando JXplorer, un navegador LDAP gratuito y multiplataforma que se pueden descargar aquí: http://jxplorer.org/.

Detalles

El cortafuegos de Palo Alto Networks utiliza dos métodos para asignar nombres de usuario a direcciones IP:

• Autenticación transparente: el cortafuegos puede recuperar automáticamente las asignaciones de nombre de usuario y de IP de los controladores de dominio de Active Directory, utilizando el agente de ID de usuario de Active Directory.  En este caso, el usuario ha iniciado sesión en el dominio y, por tanto, no se le solicitan credenciales por el cortafuegos.
• Autenticación interactiva: el Firewall puede solicitar el nombre de usuario y, a continuación, autenticarse mediante RADIUS o una base de datos de usuario local. Esto se aplicaría si los fusibles son:
  • Ejecutando clientes Mac o Linux (llamado portal cautivo).
  • Conectándonos al firewall a través de nuestra VPN SSL.
  • Intentando iniciar sesión en el Firewall GUI como administrador.

Los métodos anteriores se amplían para incluir:

• Autenticación transparente: el cortafuegos puede recuperar automáticamente las asignaciones de nombre de usuario y de IP de los controladores de dominio de Active Directory (mediante el agente de identificación de usuario de Active Directory) o de los servidores de eDirectory (utilizando el nuevo agente de ID de usuario de eDirectory). 
  Nota: el nuevo agente de ID de usuario es compatible con sólo eDirectory 8,8 debido a la única información de inicio de sesión eDirectory tracks.
• Autenticación interactiva: el Firewall puede solicitar el nombre de usuario y, a continuación, autenticar al usuario a través de RADIUS, una base de datos de usuario local o un servidor LDAP.

Obtención transparente de información de autenticación de usuario de eDirectory

EDirectory de Novell es un servicio de directorio que soporta completamente las consultas LDAP. Con eDirectory, cuando un usuario autentica, la dirección IP de origen y la hora de inicio de sesión se almacenan en el directorio en los campos: networkAddress (en formato binario propietario) y loginTime. El nuevo agente de ID de usuario puede leer específicamente esta información y mapear de forma transparente los usuarios a sus direcciones IP.

El soporte de LDAP en PAN-OS consulta el directorio, compila listas de grupos para directivas y asigna usuarios a grupos. Debido a esto, parte del proceso de implementación de soporte eDirectory es la configuración de información LDAP en el dispositivo Palo Alto Networks.

Instalar y configurar al agente de usuario

• Asegúrese de ejecutar Novell eDirectory 8,8 o posterior.  El agente de ID de usuario utiliza algunas funciones LDAP que no están disponibles en versiones anteriores de eDirectory.
• Instale el nuevo agente de ID de usuario.  Ingrese a la cuenta de soporte en: https://support.paloaltonetworks.com.   Vaya a actualizaciones de software, a continuación, sección del agente de identificación del usuario y busque una versión que finalice en "-LDAP".

  

  Descargue este archivo. msi en el servidor de Windows donde se ejecutará el agente. Instale el archivo. msi mientras está conectado como administrador. Se ejecutará como un servicio local en la cuenta del sistema local. El nombre de servicio es el agente de identificador de usuario, como se muestra aquí en la consola de administración de servicios.

  

• Después de instalar, inicie el agente de ID de usuario y seleccione configurar para mostrar lo siguiente:

  

  • Puerto de escucha del dispositivo: Utilice el valor predeterminado. Este número de puerto es para comunicaciones entre este agente y el cortafuegos PA.  Recuerde este número de puerto cuando configure el cortafuegos de Palo Alto Networks.
  • Habilite la lista permitir/omitir dirección de red.  Agregue las redes que desea supervisar para los identificadores de usuario.  Para los servidores de Terminal Server u otros equipos multiusuario, añada esas direcciones IP a la lista ignorar, ya que necesitamos utilizar el agente de servicios de Terminal Server para hacer un seguimiento de los usuarios de dichos sistemas.
• Configure la configuración eDirectory. Seleccione el elemento de menú eDirectory de la izquierda para mostrar lo siguiente:

  

  Rellene los siguientes campos:

  

  Haga clic en aceptar y expanda los objetos raíz para determinar el DN base.  También, seleccione vista del editor de tablas para ver el tipo de objeto real. En este ejemplo, la base es o = Lab.

  

  • Servidor Introduzca la dirección IP del servidor eDirectory que se debe supervisar y haga clic en Agregar. Para supervisar varios servidores, haga clic en la opción copiar configuración para configurar los ajustes en la parte inferior de la pantalla para cada servidor. Es posible que tenga que introducir información para varios servidores eDirectory. Si el directorio está particionado entre servidores, asegúrese de que cada partición tenga un servidor configurado. Además, dependiendo de la rapidez con la sincronización de la información entre los servidores, es posible que desee agregar servidores adicionales para asegurarse de que las asignaciones de usuario/IP aparezcan más rápidamente.
  • La base de búsqueda es la base DN (o raíz) del directorio donde el agente busca usuarios. En una gran implementación, puede realizar el alcance de la cantidad del directorio que se busca estableciendo la base de búsqueda de forma adecuada. En eDirectory, esto es típicamente en la forma de o =. Con JXplorer, puede conectarse a eDirectory de forma anónima y especificar sólo la dirección IP y el puerto no SSL predeterminado, como se muestra a continuación.
  • BIND nombre distintivo y contraseña es el nombre completo (FQDN) del usuario que usará para consultar eDirectory. Esta cuenta no necesita privilegios especiales. E nter la contraseña para esta cuenta. Usted debe ser capaz de navegar a este anónimamente como lo hicimos para obtener la Basen. Recuerde que el nombre completo se construye a partir del uso de la jerarquía completa. En nuestro ejemplo, eso sería cn = admin, o = Lab.
  • El preFijo de dominio de servidor (opcional) se pended al nombre de usuario y puede ser útil si utiliza múltiples fuentes de autenticación. En nuestro ejemplo, los usuarios aparecen en los registros de tráfico como: mynds\username.
  • Intervalo de búsqueda el valor por defecto de 30 segundos debe estar bien, pero esto se puede ajustar. Después de la primera consulta para generar la lista de todos los usuarios registrados actualmente, las consultas posteriores sólo buscan las entradas de usuario modificadas desde la última consulta.

    No es necesario modificar otros campos a medida que se establecen para trabajar específicamente con eDirectory.  Mantenga el puerto BIND en 636, con SSL activado, ya que eDirectory no permite que se envíen consultas LDAP autenticadas en el Clear.

  • Después de introducir la información requerida, haga clic en confirmar para guardar los cambios.

    

  • Vea los registros del agente para ver lo que está sucediendo con el agente. Ir al archivo > Mostrar registros para abrir un archivo. txt.

    Nota: si es necesario modificar los registros del agente, utilice un explorador LDAP para determinar qué establecer en los campos:

    

    Desplácese hasta la parte inferior del archivo de texto para ver la última salida de depuración del agente. Examine la salida bajo el encabezado etiquetado "se está iniciando el servicio". A continuación se muestra un ejemplo del archivo de registro:

    

    Vea el mensaje "Connect tiene éxito en el servidor x. x. x," como se ha destacado anteriormente. Si no ve ese mensaje, tendrá que solucionar problemas.

    

    Consejos útiles para solucionar problemas

    • Error 81 en el registro, asegúrese de que la configuración de BIND Port/SSL está configurada según sea necesario.
    • El error 93 en el registro puede indicar un error de comunicación.  Es posible que esté ejecutando la versión incorrecta de eDirectory, o el DN base no es correcto.
    • Para aumentar la cantidad de información registrada, vaya al menú de depuración File > para definir el nivel a ser más detallado (el nivel predeterminado es info), luego reinicie el servicio (File > restart Service).

Nota: este archivo de texto no se actualiza dinámicamente, por lo que hay que cerrarlo y luego utilizar el menú para ver la nueva información.

To verifique la configuración, seleccione el icono del monitor para ver las asignaciones de usuario a IP. El número de asignaciones aumenta a medida que el agente Lee más información del servidor LDAP.

Cuando vea una lista de usuarios en esta pantalla, ha configurado correctamente el agente. Ahora pasar a configurar el firewall para hablar con este agente.

Configuración del cortafuegos para hablar con el agente de ID de usuario

1. Desde la IU de Web, seleccione dispositivo y, a continuación, seleccione identificación de usuario en la lista de la izquierda. En la sección agente de identificación del usuario, haga clic en Agregar. Defina el tipo de agente como usuario-ID-Agent, nombre y complete la dirección IP y el puerto en el que configuró el agente para que lo escuche (el puerto predeterminado es 5007).

   

2. Habilite la identificación del usuario en la zona apropiada. Elija red, seleccione zonas de la lista de la izquierda y, a continuación, seleccione la zona en la que se origine el tráfico de usuario. En la parte inferior de la pantalla, compruebe activar la identificación del usuario.

   

3. Cometer cambios.
4. Para confirmar que el Firewall se está comunicando con el agente, ejecute el siguiente comando:
   > Mostrar ID de usuario -estadísticas del agente
   
5. Para confirmar que la base de datos de usuario se obtuvo del agente, ejecute el siguiente comando:
   > Mostrar usuario IP-usuario-mapping
   
   la pantalla User-IDS debajo del monitor > registro de tráfico en las columnas de usuario de origen y de destino.

Ahora que el identificador de usuario básico está funcionando, cree un perfil de servidor LDAP para utilizarlo posteriormente para la configuración del servidor LDAP de identificación de usuario.

1. Desde el dispositivo, en los perfiles de servidor, seleccione LDAP y, a continuación, haga clic en nuevo.
   
2. ReLlene la misma información que usó al configurar el agente de usuario. Asegúrese de que SSL está activado y que el puerto está configurado en 636. eDirectory no permite que las contraseñas se envíen en el Clear.

Definir el servidor LDAP para recuperar la información del grupo

Para el paso final, defina el servidor LDAP para recuperar la información del grupo.

1. En dispositivo, seleccione el icono de identificación del usuario. Elija Agregar, déle un nombre al servidor y seleccione el perfil de servidor que acaba de crear.
2. Cree un perfil de grupo o de usuario, si lo desea. Un perfil de usuario limita los usuarios y grupos que el cortafuegos aprende sobre para su uso en la Directiva. Para eDirectory, no necesitamos completar ningún otro campo.
   El cortafuegos recuperará la clase de objeto CN = Group .
   
3. Cometer los cambios. La información del grupo ahora se está recuperando del directorio. Puede tardar un poco en rellenar el grupo y la información del usuario.
4. Para confirmar que el cortafuegos se está comunicando con el servidor LDAP, y que se recuperó la información del Grupo:
   > Mostrar
   usuario LDAP-Server Server EDirectory

Una vez que se recupere la información del grupo y del usuario, esa información se puede utilizar en Policy.

Para confirmar, vaya a la ficha directivas, haga clic en la columna origen-usuario, y en la pantalla que aparece, los grupos deben aparecer.

Uso del servidor LDAP para la autenticación con portal cautivo, SSL VPN o acceso a GUI de Firewall

Para situaciones en las que necesitamos realmente desafiar a los usuarios por un nombre de usuario y contraseña, ahora podemos usar LDAP.  Hay tres pasos básicos involucrados:

1. Agregar un servidor LDAP en perfiles de servidor
2. Agregar un servidor LDAP en la sección de identificación del usuario
3. Crear un perfil de autenticación mediante el servidor LDAP definido

En el ejemplo siguiente, se conectará a Active Directory mediante LDAP.

1. En dispositivo, seleccione la opción LDAP en perfiles de servidor. Haga clic en nuevo para agregar el servidor. Como en nuestro ejemplo anterior, rellene toda la información necesaria.

   Desafortunadamente no podemos encontrar la base usando el método que hicimos para eDirectory. Sin embargo, si va a los usuarios y equipos de Active Directory, puede ver la base del directorio. En el ejemplo siguiente, la base sería DC = Swartz, DC = local

   

   Para encontrar BIND DN, busque el usuario mientras sigue en los usuarios y equipos y, a continuación, obtenga los resultados en el menú Ver. Seleccione elegir columnas. Agregue el nombre distintivo X500. Los resultados deben verse como:

   

   Con esta información, ahora podemos terminar la configuración.

   

   Nota: en este ejemplo, lo estamos configurando sin encriptación SSL sobre el puerto 389. Active Directory no requiere cifrado y no está disponible de forma predeterminada. Para habilitar SSL para LDAP en Active Directory, la siguiente URL puede resultar útil: http://www.linuxmail.info/enable-LDAP-SSL-Active-Directory/.

2. Agregue el servidor LDAP en la sección identificación de usuarios. Hay algunas diferencias. Para Active Directory, especifique cómo determinar los objetos de grupo y de usuario. Para Active Directory, puede establecer los campos de la siguiente manera:

   sAMAccountName corresponde a un nombre de inicio de sesión de usuario en Active Directory.

   

   Observe el filtro de Grupo: Description = AccessGroup. Esto limita el número de grupos y usuarios de los que el Firewall aprende y está disponible para su uso en la creación de directivas.

   En el ejemplo siguiente, se establecen los campos de descripción de los grupos.  A continuación se muestra un antes y un después de ver el efecto de esta configuración en este escenario--los cambios se cometieron antes y después de agregar esta configuración.

   

   

   El filtro de usuario puede restringir a los usuarios de los que aprenderá. Estos filtros controlan sólo los grupos que ve o los usuarios que puede buscar al establecer una lista de permitir en un perfil de autenticación o al establecer un usuario o grupo de origen en la Directiva.

   Nota: los usuarios de dominio son un grupo especial en Active Directory que los usuarios están vinculados a él como parte del esquema de usuario con el atributo primaryGoupID.  Los miembros no se pueden enumerar a través de una consulta LDAP, ya que el atributo Member no está configurado para este grupo, por lo que no se puede utilizar para aprender todos los nombres de usuario.

   Para obtener más información sobre la creación de consultas LDAP, consulte los siguientes sitios:

   http://www.rfc-editor.org/rfc/rfc2254.txt

   http://www.zytrax.com/books/LDAP/APA/Search.html

   • Grupos: Name = CN, Objects: = Group, Members = miembro
   • Users: Name = samAccountName, Objects = Person
3. El paso final es crear un perfil de autenticación mediante el servidor LDAP. Desde el dispositivo, seleccione el icono de Perfil de autenticación y elija nuevo. Dé un nombre al perfil, establezca la autenticación en LDAP, seleccione el perfil de servidor creado y defina el atributo de inicio de sesión. Esto asigna el nombre introducido por el usuario a un atributo LDAP. Para AD, utilice sAMAccountName.
4. Edite la lista permitir para especificar los grupos y usuarios que pueden utilizar este método de autenticación. 
   Nota: especifique cada usuario al que se le asignará acceso administrativo:

   

   Este perfil ya está listo para acceso administrativo, portal cautivo o acceso VPN SSL como se estableció anteriormente para RADIUS o una base de datos de usuario local.

   A continuación se muestra una captura de pantalla de un perfil VPN SSL utilizando LDAP:

   

   Una de las ventajas de utilizar LDAP para la autenticación es que para la mayoría de las organizaciones ya hay un servicio de directorio que admite LDAP, por lo que no es necesario instalar ni configurar nada.  Dado que permitimos al usuario definir cómo determinar los grupos y los usuarios, debe funcionar con casi cualquier directorio compatible con LDAP.

Obtener más información

Descripción general del Protocolo ligero de acceso a directorios

El Protocolo ligero de acceso a directorios (LDAP) es un estándar abierto para proporcionar servicios de directorio a través de redes IP.  LDAP se basa en X. 500, el protocolo de acceso al directorio OSI, y fue descrito por primera vez en RFC1487.  La versión más reciente (versión 3) se describe en RFC2251.

Hay dos componentes principales en una base de datos LDAP que debemos entender para poder usarlo para la autenticación, su estructura y su contenido.

LDAP es una estructura jerárquica de bases de datos que se presta a definir las organizaciones y sus estructuras. Es increíblemente flexible es el diseño, debido a esta estructura LDAP de cada organización diferirá.

El contenido del directorio se define en su esquema, que es muy extensible. Los usuarios pueden modificar el diseño de la base de datos para satisfacer sus necesidades. El esquema de directorios define los posibles objetos y atributos de la base de datos que pueden poseer. Al visualizar un directorio, es común verlo como una colección de objetos de contenedor (organizaciones, unidades organizativas) y objetos de hoja (personas, equipos).

RFC 2377 define el esquema básico para las aplicaciones habilitadas para directorios. A continuación, una lista de algunos de los que son importantes para nosotros:

• RDN: nombre distintivo relativo es el nombre de un objeto sin referencia a su lugar dentro del árbol. A menudo se basa en el nombre común del objeto.
• DN: nombre distinguido es el nombre que define un objeto indicando su ubicación dentro de la jerarquía de directorios. Se crea mediante la concatenación de los nombres distintivos relativos del objeto y de cada uno de sus ancestros hasta la raíz de la partición de directorio. Este nombre es único en todo el directorio
• DN base: cada directorio es requerido para proporcionar información específica de directorio básico para que los clientes puedan acceder a ellos. Uno de estos atributos es la lista de nombres distintivos de base (DN) a los que se puede acceder en este servidor. Típicamente el DN base será los varios componentes del dominio del directorio.
• CN: el nombre común suele utilizarse para hacer referencia a los objetos, ya que es un atributo que poseen todos los objetos de hoja. El nombre común sólo tiene que ser único dentro de su propio contenedor (por lo que es posible tener dos objetos con el CN de Bob, siempre y cuando se encuentran en contenedores separados. Este atributo puede contener el nombre de inicio de sesión de usuarios.
• ola organización es muchas veces la raíz de un directorio. Debajo de la organización se encuentran las diferentes unidades organizativas, grupos y miembros. eDirectory utiliza esto como la base de su estructura.
• ou: la unidad organizativa se utiliza para ayudar a definir la estructura de la organización. Un directorio puede estar compuesto de varias unidades organizativas en cualquier nivel del árbol.
• DC: el componente Domain define las partes de nivel superior del directorio y se basa en el nombre de dominio DNS de la organización. Active Directory utiliza este formato.
• Member: atributo de un objeto Group que contiene todos los miembros de un grupo. El cortafuegos utiliza este atributo para determinar si un usuario está en un grupo estático.

Navegadores LDAP

• Softerra LDAP Administrator es una excelente herramienta LDAP para Windows, que se puede encontrar en: >http://www.ldapadministrator.com/>.  
  Nota: después de la primera prueba gratuita, se requerirá la compra de esta solicitud para su posterior uso.
• JXplorer es un navegador gratuito basado en Java que funciona en Windows, Mac y Linux.  Se puede encontrar en: http://jxplorer.org/.
• LdapBrowser de IIT Engineering es otro navegador gratuito basado en Java que se puede encontrar aquí: http://www.brothersoft.com/LDAP-Browser-14779.html

1. Propietario: bswartzw