Procédure de configuration de l'Authentification eDirectory et LDAP

Procédure de configuration de l'Authentification eDirectory et LDAP

59681
Created On 09/25/18 17:50 PM - Last Modified 01/03/24 17:56 PM


Resolution


Vue d’ensemble

Une caractéristique clé du pare-feu de Palo Alto Networks est de cartographier les noms d'utilisateurs vers les adresses IP. Une fois que le pare-feu de Palo Alto Networks connaît les noms associés aux adresses IP, le pare-feu peut:

  • Enregistrer ces informations
  • Contrôle du trafic basé sur un nom d'utilisateur ou un groupe particulier

Le pare-feu utilise deux méthodes pour effectuer le mappage d'adresse username-to-IP, l'authentification transparente et interactive.

Ce document traite de la configuration de l'authentification transparente via un serveur eDirectory et de l'authentification interactive via un serveur LDAP. La discussion est en deux parties:

  • Obtention transparente d'informations d'Authentification utilisateur à partir de eDirectory
  • Utilisation du serveur LDAP pour l'authentification avec portail captif, VPN SSL ou accès GUI de pare-feu

Avant de démarrer le programme d'installation, nous vous conseillons d'avoir un navigateur LDAP local pour vérifier les paramètres de l'agent user-ID et du pare-feu de Palo Alto Networks. Les exemples de ce document utilisent JXplorer, un navigateur LDAP libre et multiplateforme téléchargeable ici: http://jxplorer.org/.

Détails

Le pare-feu de Palo Alto Networks utilise deux méthodes pour mapper les noms d'utilisateur aux adresses IP:

  • Authentification transparente: le pare-feu peut récupérer automatiquement le nom d'utilisateur et les mappages IP des contrôleurs de domaine Active Directory, à l'Aide de l'agent d'ID utilisateur Active Directory.  Dans ce cas, l'utilisateur s'est précédemment connecté au domaine et n'est donc pas invité à entrer les informations d'identification par le pare-feu.
  • Authentification interactive: le pare-feu peut demander le nom d'utilisateur, puis l'authentifier via RADIUS ou une base de données utilisateur locale. Cela s'appliquerait si les fusibles sont:
    • Exécution de clients Mac ou Linux (appelé portail captif).
    • Connexion au pare-feu via notre VPN SSL.
    • Tentative de connexion à l'INTERFACE utilisateur du pare-feu en tant qu'administrateur.

Les méthodes ci-dessus sont élargies pour inclure:

  • Authentification transparente: le pare-feu peut récupérer automatiquement le nom d'utilisateur et les mappages IP des contrôleurs de domaine Active Directory (à l'Aide de l'agent d'id utilisateur Active Directory) ou des serveurs eDirectory (à l'Aide du nouvel agent d'identification d'utilisateur eDirectory). 
    Remarque: le nouvel agent User-ID est compatible avec eDirectory 8,8 uniquement en raison des informations de connexion uniques des pistes eDirectory.
  • Authentification interactive: le pare-feu peut demander le nom d'utilisateur, puis authentifier l'utilisateur via RADIUS, une base de données utilisateur locale ou un serveur LDAP.

Obtention transparente d'informations d'Authentification utilisateur à partir de eDirectory

EDirectory de Novell est un service d'annuaire qui prend totalement en charge les requêtes LDAP. Avec eDirectory, Lorsqu'un utilisateur s'authentifie, l'adresse IP source et l'heure de connexion sont stockées dans le répertoire dans les champs: NetworkAddress (dans un format binaire propriétaire) et loginTime. Le nouvel agent User-ID peut lire spécifiquement ces informations et mapper les utilisateurs de manière transparente à leurs adresses IP.

La prise en charge LDAP dans PAN-OS interroge le répertoire, crée des listes de groupes pour les stratégies et mappe les utilisateurs aux groupes. Pour cette raison, une partie du processus d'implémentation de la prise en charge de eDirectory est la configuration des informations LDAP sur le périphérique Palo Alto Networks.

Installation et configuration de l’Agent utilisateur

  • Assurez-vous d'exécuter Novell eDirectory 8,8 ou ultérieur.  L'Agent user-ID utilise certaines fonctions LDAP qui ne sont pas disponibles dans les versions précédentes de eDirectory.
  • Installez le nouvel agent User-ID.  Connectez-vous au compte de support à: https://support.paloaltonetworks.com.   Accédez à mises à jour logicielles, puis section agent d'Identification de l'utilisateur et recherchez une version qui se termine par «-LDAP».

    LDAP1. png

    Téléchargez ce fichier. msi sur le serveur Windows sur lequel l'agent s'exécutera. Installez le fichier. msi Lorsqu'il est connecté en tant qu'administrateur. Il s'exécutera en tant que service local sous le compte système local. Le nom du service est agent d'ID utilisateur, comme indiqué ici dans la console de gestion des services.

    ldap2png. png

  • Après avoir installé, lancez l'Agent user-ID et sélectionnez configurer pour afficher les éléments suivants:

    ldap3. png

    • Port d'Écoute du périphérique: utilisez la valeur par défaut. Ce numéro de port est destiné aux communications entre cet agent et le pare-feu PA.  Rappelez-vous ce numéro de port lors de la configuration du pare-feu Palo Alto Networks.
    • Activez la liste autoriser/ignorer l'Adresse réseau.  Ajoutez les réseaux que vous souhaitez surveiller pour les ID utilisateur.  Pour les serveurs Terminal Server ou d'autres machines multi-utilisateurs, ajoutez ces adresses IP à la liste ignorer, car nous devons utiliser l'Agent des services Terminal Server pour suivre les utilisateurs sur ces systèmes.
  • Configurer les paramètres eDirectory. Sélectionnez l'élément de menu eDirectory sur la gauche pour afficher les éléments suivants:

    ldap4. png

    Remplissez les champs suivants :

    ldap5. png

    Cliquez sur OK et développez les objets racine pour déterminer le DN de base.  En outre, sélectionnez affichage de l'Éditeur de table pour voir le type d'objet réel. Dans cet exemple, la base est o = Lab.

    ldap6. png

    • Server Entrez l'ADRESSE IP du serveur eDirectory à surveiller et cliquez sur Ajouter. Pour surveiller plusieurs serveurs, cliquez sur l'option copier le paramètre pour configurer les paramètres en bas de l'écran pour chaque serveur. Vous devrez peut-être entrer des informations pour plusieurs serveurs eDirectory. Si le répertoire est partitionné entre les serveurs, assurez-vous que chaque partition dispose d'un serveur configuré. En outre, selon la rapidité avec laquelle les informations sont synchronisées entre les serveurs, vous pouvez ajouter des serveurs supplémentaires pour vous assurer que les mappages utilisateur/IP apparaissent plus rapidement.
    • Search base est le DN de base (ou racine) du répertoire où l'agent recherche les utilisateurs. Dans un déploiement important, vous pouvez définir la quantité de recherche du répertoire en définissant la base de recherches de manière appropriée. Dans eDirectory, il s'agit généralement de la forme o =. À l'Aide de JXplorer, vous pouvez vous connecter à eDirectory de manière anonyme et spécifier uniquement l'adresse IP et le port non-SSL par défaut, comme indiqué ci-dessous.
    • Bind nom unique et mot de passe est le nom complet (FQDN) de l'utilisateur que vous allez utiliser pour interRoger eDirectory. Ce compte n'a pas besoin de privilèges spéciaux. E nter le mot de passe de ce compte. Vous devriez être en mesure de naviguer à ce anonyme comme nous l'avons fait pour obtenir le Basen. Rappelez-vous que le nom entièrement distingué est construit à partir de L'utilisation de la hiérarchie entière. Dans notre exemple, ce serait CN = admin, o = Lab.
    • Le préFixe de domaine de serveur (facultatif) est pré-suspens au nom d'utilisateur et peut être utile si vous utilisez plusieurs sources d'Authentification. Dans notre exemple, les utilisateurs apparaissent dans les journaux de trafic comme: mynds\username.
    • Intervalle de recherche la valeur par défaut de 30 secondes devrait être bien, mais cela peut être ajusté. Après la première requête pour générer la liste de tous les utilisateurs actuellement connectés, les requêtes suivantes recherchent uniquement les entrées utilisateur modifiées depuis la dernière requête.

      Aucun autre champ ne doit être modifié car il est défini pour fonctionner spécifiquement avec eDirectory.  Conservez le port bind à 636, avec SSL activé, car eDirectory n'autorise pas l'envoi de requêtes LDAP authentifiées en clair.

    • Après avoir entré les informations requises, cliquez sur valider pour enregistrer les modifications.

      ldap7. png

    • Affichez les journaux de l'agent pour voir ce qui se passe avec l'agent. Allez dans fichier > afficher les journaux pour ouvrir un fichier. txt.

      Remarque: si les journaux de l'agent doivent être modifiés, utilisez un navigateur LDAP pour déterminer la configuration des champs:

      L1. png

      Faites défiler jusqu'au bas du fichier texte pour afficher la dernière sortie de débogage de l'agent. Examinez la sortie sous L'en-tête étiqueté "service est en cours de démarrage." Illustré ci-dessous est un exemple du fichier journal:

      L2. png

      Voir le message "Connect réussit sur le serveur x. x. x. x", comme indiqué ci-dessus. Si vous ne voyez pas ce message, vous devez dépanner.

      L3.png

      Conseils de dépannage utiles

      • Erreur 81 dans le journal, assurez-vous que le paramètre port bind/SSL est configuré selon les besoins.
      • L'Erreur 93 dans le journal peut indiquer une erreur de communication.  Vous pouvez exécuter la mauvaise version de eDirectory, ou le DN de base n'est pas correct.
      • Pour augmenter la quantité d'informations enregistrées, allez dans le menu fichier > debug pour définir le niveau à être plus détaillée (niveau par défaut est info), puis redémarrer le service (fichier > redémarrer le service).

Remarque: ce fichier texte n'est pas mis à jour dynamiquement, vous devez donc le fermer, puis utiliser le menu pour afficher de nouvelles informations.

To Vérifiez la configuration, sélectionnez l'Icône moniteur pour afficher les mappages utilisateur-IP. Le nombre de mappages augmente à mesure que l'agent lit plus d'informations à partir du serveur LDAP.

L5. png

Lorsque vous voyez une liste d'utilisateurs sur cet écran, vous avez configuré l'agent correctement. Maintenant, passez à la configuration du pare-feu pour parler à cet agent.

Configuration du pare-feu pour parler à l'Agent user-ID

    1. À partir de l'INTERFACE utilisateur Web, sélectionnez périphérique, puis sélectionnez identification de l'Utilisateur dans la liste de gauche. Sous la section agent D'Identification de l'Utilisateur, cliquez sur Ajouter. Définissez le type d'agent comme user-ID-agent, nommez-le et remplissez l'adresse IP et le port que vous avez configuré l'agent à écouter sur (le port par défaut est 5007).

      L6. png

    2. Activer l'Identification de l'Utilisateur sur la zone appropriée. Choisissez réseau, sélectionnez zones dans la liste à gauche, puis sélectionnez la zone où le trafic utilisateur provient. En bas de l'écran, cochez Activer l'Identification de l'Utilisateur.

      L7. png

    3. Valider les modifications.
    4. Pour confirmer que le pare-feu communique avec l'agent, exécutez la commande suivante:
      > afficher les statistiquesL8. png utilisateur userid-agent
    5. Pour confirmer que la base de données utilisateur a été obtenue à partir de l'agent, exécutez la commande suivante:
      > Show utilisateur IP-utilisateur-mappage
      L9. png
      L'Affichage des ID utilisateur sous le journal de trafic Monitor > dans les colonnes utilisateur source et utilisateur cible.


Maintenant que l'ID utilisateur de base fonctionne, créez un profil de serveur LDAP à utiliser ultérieurement pour l'installation du serveur LDAP D'Identification de l'Utilisateur.

    1. À partir du périphérique, sous profils de serveur, sélectionnez LDAP, puis cliquez sur nouveau.
      L10. png
    2. Remplissez les mêmes informations que celles utilisées lors de la configuration de l'Agent utilisateur. Assurez-vous que SSL est activé et que le port est réglé sur 636. eDirectory n'autorise pas l'envoi de mots de passe en clair.

Définir le serveur LDAP pour récupérer les informations de groupe

Pour l'étape finale, définissez le serveur LDAP pour récupérer les informations du groupe.

    1. Sous périphérique, sélectionnez l'Icône D'Identification de l'Utilisateur. Choisissez Ajouter, donnez un nom au serveur et sélectionnez le profil de serveur que vous venez de créer.
    2. Créez un profil de groupe ou d'utilisateur, si désiré. UN profil utilisateur limite les utilisateurs et les groupes que le pare-feu apprend à utiliser dans la stratégie. Pour eDirectory, nous n'avons pas besoin de remplir d'autres champs.
      Le pare-feu récupèrera la classe d'objet CN =L11. png Group.
    3. Validez les modifications. Les informations du groupe sont maintenant extraites du répertoire. Il peut prendre un certain temps pour remplir le groupe et les informations utilisateur.
    4. Pour confirmer que le pare-feu communique avec le serveur LDAP et que les informations de groupe ont été récupérées:
      > afficher l'
      L12. png utilisateur LDAP- Server Server eDirectory


Une fois que les informations de groupe et d'utilisateur sont récupérées, ces informations peuvent être utilisées dans la stratégie.

Pour confirmer, accédez à l'onglet stratégies, cliquez dans la colonne source-utilisateur et, dans l'écran qui s'affiche, les groupes doivent apparaître.

Utilisation du serveur LDAP pour l'Authentification avec portail captif, VPN SSL ou accès GUI de pare-feu

Pour les situations où nous devons réellement défier les utilisateurs pour un nom d'utilisateur et mot de passe, nous pouvons maintenant utiliser LDAP.  Il y a trois étapes de base impliquées:

    1. Ajouter un serveur LDAP sous profils de serveur
    2. Ajouter un serveur LDAP sous la section identification de l'Utilisateur
    3. Créer un profil d'Authentification à l'Aide du serveur LDAP défini

Dans L'exemple suivant, nous allons nous connecter à Active Directory à l'Aide de LDAP.

    1. Sous périphérique, sélectionnez l'option LDAP sous profils de serveur. Cliquez sur nouveau pour ajouter le serveur. Comme dans notre exemple précédent, remplissez toutes les informations nécessaires.

      Malheureusement, nous ne pouvons pas trouver la base en utilisant la méthode que nous avons fait pour eDirectory. Cependant, si vous allez dans les utilisateurs et les ordinateurs d'Active Directory, vous pouvez voir la base du répertoire. Dans L'exemple ci-dessous, la base serait DC = Swartz, DC = local

      L13. png

      Pour trouver BIND DN, recherchez l'utilisateur tout en restant dans les utilisateurs et les ordinateurs, puis obtenir des résultats dans le menu Affichage. Sélectionnez choisir les colonnes. Ajoutez le nom unique X500. Les résultats devraient ressembler à:

      14. png

      Avec cette information, nous pouvons maintenant terminer la configuration.

      15. png

      Remarque: dans cet exemple, nous l'installons sans cryptage SSL sur le port 389. Active Directory ne nécessite pas de cryptage et n'est pas disponible par défaut. Pour activer SSL pour LDAP dans Active Directory, l'URL suivante peut S'avérer utile: http://www.linuxmail.info/Enable-LDAP-SSL-Active-Directory/.

    2. Ajoutez le serveur LDAP dans la section identification de l'Utilisateur. Il y a quelques différences. Pour Active Directory, spécifiez comment déterminer les objets de groupe et d'utilisateur. Pour Active Directory, vous pouvez définir les champs comme suit:

      sAMAccountName correspond à un nom de connexion utilisateur dans Active Directory.

      16. png

      Remarquez le groupe Filter: description = AccessGroup. Cela limite le nombre de groupes et d'utilisateurs que le pare-feu apprend et sont disponibles pour l'utilisation dans la création de stratégies.

      Dans L'exemple suivant, les champs de description des groupes sont définis.  Ci-dessous est un regard avant et après à l'effet de ce paramètre dans ce scénario-les modifications ont été validées avant et après l'ajout de ce paramètre.

      17. png

      21.le png

      Le filtre utilisateur peut restreindre les utilisateurs que vous allez apprendre. Ces filtres contrôlent uniquement les groupes que vous voyez ou les utilisateurs que vous pouvez rechercher lors de la définition d'une liste d'autoriser dans un profil d'Authentification ou lors de la définition d'un utilisateur ou d'un groupe source dans la stratégie.

      Remarque: les utilisateurs de domaine sont un groupe spécial dans Active Directory que les utilisateurs sont liés à lui dans le cadre du schéma utilisateur avec l'Attribut primaryGoupID.  Les membres ne peuvent pas être énumérés par le biais d'une requête LDAP, car l'attribut Member n'est pas défini pour ce groupe, donc il ne peut pas être utilisé pour apprendre tous les noms d'utilisateur.

      Pour en savoir plus sur la création de requêtes LDAP, reportez-vous aux sites suivants:

      http://www.RFC-Editor.org/RFC/RFC2254.txt

      http://www.zytrax.com/books/LDAP/APA/Search.html

      • Groupes: Name = CN, Objects: = Group, members = member
      • Users: Name = sAMAccountName, Objects = person
    3. L'étape finale consiste à créer un profil d'Authentification à l'Aide du serveur LDAP. À partir du périphérique, sélectionnez l'Icône de profil d'Authentification et choisissez nouveau. Donnez au profil un nom, définissez l'Authentification sur LDAP, sélectionnez le profil de serveur créé et définissez l'attribut login. Cela mappe le nom entré par l'utilisateur à un attribut LDAP. Pour AD, utilisez sAMAccountName.
    4. Modifiez la liste autoriser pour spécifier les groupes et les utilisateurs qui peuvent utiliser cette méthode d'Authentification. 
      Remarque: spécifiez chaque utilisateur qui sera assigné à l'accès administratif:

      22.le png

      Ce profil est maintenant prêt pour l'accès administratif, le portail captif ou l'accès VPN SSL comme défini précédemment pour RADIUS ou une base de données d'Utilisateurs locaux.

      Ci-dessous une capture d'écran d'un profil SSL VPN en utilisant LDAP:

      23.le png24.le png

      L'Un des avantages de L'utilisation de LDAP pour l'authentification est que pour la plupart des organisations disposent déjà d'un service d'annuaire qui prend en charge LDAP, donc rien n'a besoin d'être installé ou configuré.  Puisque nous permettons à l'utilisateur de définir comment déterminer les deux groupes et les utilisateurs, il devrait fonctionner avec presque n'importe quel annuaire compatible LDAP.

Plus d’informations


Vue d'Ensemble du protocole Lightweight Directory Access

Le protocole LDAP (Lightweight Directory Access Protocol) est un standard ouvert pour fournir des services d'annuaire via des réseaux IP.  LDAP est basé sur X. 500, le protocole D'Accès au répertoire OSI, et a été décrit pour la première fois dans RFC1487.  La version la plus récente (version 3) est décrite dans RFC2251.

Il y a deux composants principaux à une base de données LDAP que nous devons comprendre afin de l'utiliser pour l'authentification, sa structure et son contenu.

LDAP est une structure de base de données hiérarchique qui se prête à la définition d'organisations et de leurs structures. Il est incroyablement flexible est la conception, à cause de cette structure LDAP de chaque organisation diffère.

Le contenu du répertoire est défini dans son schéma, qui est très extensible. Les utilisateurs peuvent modifier la conception de base de données pour répondre à leurs besoins. Le schéma d'annuaire définit les objets et les attributs de base de données possibles qu'ils peuvent posséder. Lors de l'affichage d'un répertoire, il est courant de l'afficher sous la forme d'une collection d'objets conteneur (organisations, unités d'organisation) et d'objets feuille (personnes, ordinateurs).

Le document RFC 2377 définit le schéma de base des applications compatibles avec l'annuaire. Voici une liste de certains de ceux qui sont importants pour nous:

    • nom unique relatif est le nom d'un objet sans référence à sa place dans l'arborescence. Il est souvent basé sur le nom commun de l'objet.
    • DN: nom unique est le nom qui définit un objet en indiquant son emplacement dans la hiérarchie d'annuaire. Il est créé en concaténant les noms distinctifs relatifs de l'objet et de chacun de ses ancêtres jusqu'à la racine de la partition d'annuaire. Ce nom est unique dans tout le répertoire
    • DNde base: chaque répertoire est nécessaire pour fournir des informations spécifiques au répertoire de base afin que les clients puissent y accéder. L'Un de ces attributs est la liste des noms uniques de base (DN) sur lequel vous pouvez accéder sur ce serveur. En général, le DN de base sera les différents composants de domaine du répertoire.
    • CN: Common Name est généralement utilisé pour référencer des objets, car c'est un attribut que possèdent tous les objets feuille. Le nom commun n'a besoin que d'être unique dans son propre conteneur (il est donc possible d'avoir deux objets avec le CN de Bob tant qu'ils sont dans des conteneurs distincts. Cet attribut peut contenir le nom de connexion utilisateur.
    • oL'organisation est souvent la racine d'un répertoire. Au-dessous de l'organisation se trouvent les différentes unités organisationnelles, groupes et membres. eDirectory l'utilise comme base de sa structure.
    • UO: l'unité D'organisation est utilisée pour aider à définir la structure de l'organisation. Un répertoire peut être composé de plusieurs unités organisationnelles à n'importe quel niveau de l'arborescence.
    • lecomposant DC: Domain définit les portions de niveau supérieur du répertoire et est basé sur le nom de domaine DNS de l'organisation. Active Directory utilise ce format.
    • Member: attribut d'un objet Group qui contient tous les membres d'un groupe. Le pare-feu utilise cet attribut pour déterminer si un utilisateur se trouve dans un groupe statique.

Navigateurs LDAP

    • Softerra LDAP Administrator est un excellent outil LDAP pour Windows, qui se trouve à l'emplacement: >http://www.ldapadministrator.com/>.  
      Note: après l'essai gratuit initial, l'achat de cette demande pour une utilisation ultérieure sera nécessaire.
    • JXplorer est un navigateur gratuit basé sur Java qui fonctionne sous Windows, Mac et Linux.  On peut le trouver à: http://jxplorer.org/.
    • LdapBrowser par ITI Engineering est un autre navigateur gratuit basé sur Java qui peut être trouvé ici: http://www.brothersoft.com/LDAP-Browser-14779.html

  1. propriétaire: bswartzw
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClKOCA0&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language