何ができる私のファイアウォールは?ユーザーを識別する!

 

そのユーザー名とその情報で何ができるかによって、ユーザーを識別するために使用できるオプションを詳しく見てをみましょう。我々 はユーザー ID クライアントの構成行くよと clientless 展開と比較して、非脱落型のポータルを設定し、グループ マッピング セキュリティ ポリシーで使用するための準備します。

 

 

Windows の準備

 

前に始めることができます、ユーザー識別エージェントをダウンロードします。これは、[ソフトウェアの更新] の下のサポートポータルで見つけることができます。インストーラーをダウンロードした後、Active Directory サーバーにインストールすることをお勧めしますが、別のサーバーを使いたい場合、これは必須ではありません。Windows サーバーでの UAC (ユーザーのアクセス管理) の設定により、管理者としてインストーラーを実行するをお勧めします。Execue インストーラーをコマンドラインからインストーラーのファイルを含むフォルダーに移動し、「管理者として実行」オプションでコマンド プロンプトを開きます。

 

 

 

インストール プロセスが完了すると、[スタート] メニューからユーザー ID エージェントを開き、セットアップに進みます。ユーザー ID エージェントの構成を起動する編集をクリックします。

 

構成する必要があります最初のものは、サービスとして実行するユーザー名です。アカウントに少なくとも次の権限が付与されていることを確認します (誤った/不完全なアクセス許可により、エラー 1069 "エラーが発生してサービスを開始できませんでした" というメッセージ) この資料に従って、ユーザー特権のセットアップ手順を実行してください。ユーザー ID エージェントをインストールし、' エラー1069でサービスの開始に失敗しました ' を防ぐ

• イベントログリーダー (Windows 2003 のセキュリティログのユーディットと管理)
• (サービスとして実行) をサーバー オペレーター
• (WMI プローブ) の DCOM ユーザー

これは少々 ややこしいですが、今のところ管理者としてアカウントを設定し、この資料の最後よりよく理解し、ユーザー ID エージェントの展開を計画することができます関連の記事をいくつかのより多くのリンクを追加しました。

 

エージェントは、管理者ガイド に記載されているように logon_success と auth_ticket_granted/更新イベントでピックアップ

• Windows Server 2003 — 必要なイベントのイベント Id は 672 (認証チケット付与)、(サービス チケット付与) 673 674 (チケットを更新許可)。 
• Windows Server 2008/2012 (R2 も含む) または MS Exchange-4768 (認証チケット付与)、(サービス チケット付与) 4769、4770 (チケット付与更新) 4624 (ログオンの成功) の必要なイベントのイベント Id です。

 

最後に、ActiveDirectory 準備リストの成功の監査を有効にすると、ので確認ログイン イベントが AD ログに記録。

 

 

ユーザー ID エージェント構成

 

 

今 UID エージェントの設定を行いましょう。あなたはまだ専用のユーザーがない、快適なセットアップをしてさらに勧告を読んでいくつかの時間を持っている場合、後で変更することができます管理者にユーザーを設定します。構成の最初のタブでは、ユーザー名を設定します。

 

 

次のタブでお越しの際にもログの読み取り回数。エージェントがイベント ログをポーリングしてユーザー ip リストにソース ip アドレスとその関連付けられたユーザー アカウントを追加する成功したログイン イベントを検索起こっているどのくらいの頻度に設定されます。 ほとんどの場合、1 秒というデフォルト設定の使用をお勧めします。

 

サーバーへのクライアントの接続を監視するサーバー セッションすることができます。これが役にほとんどのクライアントがあるかどうかユーザー アカウントがまだログイン、その共有に接続されていることを確認するため広告をネットワーク ドライブの割り当て。

 

クライアント プローブ タブでは、場合を制御することができ、どのようにクライアント コンピューターは定期的にアカウントがまだログオンされているかどうか参照してくださいに調査。これらのプローブは、マシンがローカル アカウントにログオンまたはネットワークから突然削除場合にユーザー ip マッピングを削除することができます。宛先マシンは、これらのプローブをサポートする必要はいくつかの計画が必要ただし、です。失敗ファイアウォール ポリシーによりプローブまたはクライアントがユーザー ID エージェント アカウントに wmi を承認しない場合も同様に削除するユーザー ip マッピングになります。あなたのクライアントはプロービングをサポートできるかどうかは、今のところ両方のプローブを無効にします。

 

[キャッシュ] タブは、ユーザー ip マッピングのエントリを設定するタイムアウトことができます。特に場合は、プローブは、'古い' ユーザー ip マッピングを削除することができます、この貴重なは無効です。ActiveDirectory 成功ログ イベントが検出された場合は、タイムアウト値が更新されます。

 

かなり静的なオフィス環境で安全な既定の kerberos ユーザー チケットの有効期限は 10 時間分 600 + に設定このタイムアウトが発生することです。ワークステーションを共有する多くのユーザーに非常に動的な環境より有益な短い期間にタイムアウトを設定する場合があります。

 

エージェント サービス] タブでは、サービスがファイアウォールの着信接続のリッスン既定ポートを変更することができます。

 

我々 今の eDirectory および syslog タブを残して、先に行くし、[ok] をクリックします。作成した構成と IP アドレスまたはサブネットのユーザー ID エージェントに接続できる上限に設定できるアクセス制御リストの概要が表示されます。先に行くし、新しいユーザー ID エージェント構成をコミットします。

 

すぐにエージェントのメイン ページに戻って行くことによってサービスを実行しているを確認します。

エージェントが開始されていない場合は、ここから手動で開始することができます。

 

次に、我々 はエージェントが接続する起こっている ActiveDirectory サーバーを構成がユーザーの利用状況に関する情報を収集します。発見のページを開くし、自動検出をヒットこれがローカル コンピューターの情報を使用して利用可能なサーバーの一覧に表示します。追加のサーバーを手動で追加することができます。サーバーがマルチホームの場合は、必要に応じて余分なエントリを削除できます。

 

含める/除外リストはユーザー ログイン イベントのサブネットまたは監視されないべきである必要とするコントロールをできます。

 

監視] ページの新しいユーザー ip マッピング充填開始する必要があります。ユーザー ID エージェントを最初に始めたときは、ActiveDirectory の最後の 50.000 のログ エントリを通過し、新しいエントリに対して毎秒を監視します。一日の時間と、サーバーのイベント ログのおしゃべり、に応じてアクティブな IP アドレス (このとき考慮セキュリティ ポリシーを展開する) の信頼性の高いデータベースの一覧が表示されます前にしばらく時間がかかる可能性があります。

 

エージェントが準備されている今、ファイアウォールの GUI を開きます。デバイス タブで、ユーザー識別情報の我々 はユーザー ID エージェントで使用される同じパラメーターを使用して clientless の配置を構成できます。これは、非常に小規模な環境またはとき、ActiveDirectory にアクセスできませんソフトウェアの部分をインストールに役立ちます。多くのオーバーヘッドの原因となる、大規模な環境で clientless の展開を使用してお勧めしません。

 

インストールされたユーザー ID エージェントに接続するには、次のタブに進んで、新しいユーザー ID エージェントを追加する必要があります。

エージェントを簡単に識別、その ip アドレスと我々 はエージェントの構成の「エージェント サービス」タブで構成されているポートを設定する名前を割り当てます。コレクターは、コレクション ポイントとして別のファイアウォールを使用し、このファイアウォールは、ファイアウォールから情報を収集する必要がある場合にのみ使用する必要があります。非脱落型ポータルが構成されている場合、少なくともブラウザーで NTLM 認証をサポートする 1 つのエージェントはプロキシとして動作するように設定する必要です。今我々 はキャプティブポータルを構成する NTLM を設定する方法をあげると、このオプションを有効にします。

 

この構成をコミットし、'接続' 光を緑にくるを待ちます。 

次の手順は、ゾーンのユーザー Id を必要とするユーザーの識別を有効にすることです。そのゾーンで特定のサブネットのユーザー Id だけを実行するユーザー識別 ACL を設定していない場合、インターネット ゾーンに対して有効にする adviseable はありません。これが設定されていない場合、ファイアウォールはファイアウォールの外部インターフェイスに接続するすべての IP アドレスについてはユーザー ID エージェントを照会します。

 

頭ネットワーク タブのゾーンを開き、信頼ゾーンを開くと、ユーザーの識別を有効にします。

 

すべての必要なゾーンを有効にしたら、構成をコミットします。コミットが完了した後、ユーザーの情報を示すトラフィックのログが開始されます。

 

 

キャプティブポータル

 

 

Active Directory イベント ログの従来の方法を経由してピックアップできないユーザーの場合は、非脱落型ポータル システムは、ブラウジング セッションを傍受を設定できます、ユーザーのブラウザーを NTLM によって照会の資格情報や web フォームの入力ユーザー名とパスワードをユーザーに提示します。

 

ユーザーは、認証を要求するポータル ページにリダイレクトされます、最適なユーザー エクスペリエンスは場所を持っている証明書で-、組織全体で信頼されている証明機関がサーバー証明書を作成する場合、このユーザーがリダイレクトされる場合、エラー メッセージをポップアップしないブラウザーになりますので。ローカル CA が利用できない場合自己署名証明書を生成され、クライアントのユーザー エクスペリエンスを向上させることに手動でインポートすることができます。

 

[デバイス] タブに向かうと新しい自己署名証明書を生成または組織証明書をインポートします。証明機関として私の証明書を作成したが、これは厳密に必要ではありません。共通名としてリダイレクト IP としてこれを使用するでしょうが、内部 DNS サーバーがある場合 captiveportal.mycompany.com のような FQDN を設定し、[リダイレクトに使用する私のインターフェイスの IP アドレスを設定します。

次に、非脱落型ポータル サーバー証明書としてこの証明書を使用できるように SSL/TLS サービス プロファイルを作成する必要があります。TLS の最小および最大のバージョン希望をサポートするポータルを選択します。

 

非脱落型ポータルを構成することができます前にもう一歩は認証を有効にするのには。LDAP サーバーのプロファイルに移動し、Active Directory サーバーの新しい LDAP プロファイルを作成します。

認証プロファイルを作成します。環境に合わせて適切にログイン属性を設定することを確認します。Active directory は、これは通常 'sAMAccountName' をなります。

[詳細] タブでは、認証できるユーザーのグループを制限できますが、今のところ、我々 はこれを設定するつもり 'すべて'。

 

次に、非脱落型のポータルを構成します。

 

あなたは、ファイアウォールのインターフェイスのリンク先ページにユーザーをリダイレクトする、リダイレクト モードを有効にするつもり。これは、適切なブラウザー経験をユーザに提示する前の手順で作成した証明書になります。半透明モードが残っている場合は有効に、ファイアウォールは、元のリンク先 URL に偽装、HTTP 401 を呼び出して認証を要求します。ただし、この認証のラインの性質のため、クライアントは適切な証明書が表示されず、常に証明書のエラーを取得します。

• 非脱落型ポータル証明書を SSL/TLS サービス プロファイルを設定します。
• 認証プロファイルを ldap 認証プロファイルに設定します。
• リダイレクト ホスト ファイアウォールのインターフェイスの ip アドレスを設定します。前述したように、この ip アドレスに解決する FQDN であるでき、証明書の共通名として設定。

仕事へのリダイレクト、インターフェイスは応答ページを有効にする必要があります。これらはインタ フェース管理プロファイルを使用することができます。入門シリーズの Layer3 割賦では、ping を可能にするインターフェイス管理プロファイルの追加について説明しました--我々はまた、応答ページを許可するようにそのプロファイルを編集することができます。

 

最後のステップは、キャプティブポータル ポリシーを作成することです。ブラウザー挑戦するアクションが設定されている 1 つのポリシーを作成し、アクションの web フォームを使用して、2 番目のものを以下を作成します。ブラウザーの異議申し立てポリシーは cmpatible の NTLM 認証のためのブラウザーをポーリングしようとします。これが失敗した場合、2 番目のポリシーでは、ユーザー名とパスワードを入力する web フォームとユーザーが表示されます。

 

 

グループのマッピング

 

以来、既に LDAP プロファイルを作成したら、グループ情報を Active Directory から収集するため余分な一歩になります。このグループの情報は、ユーザー アカウントとグループ メンバーシップに基づいてユーザーを拒否または禁止するセキュリティ ポリシーを作成する使用できます。

 

ユーザー Id の [デバイス] タブ グループ マッピングの設定に移動し、新しいプロファイルを作成します。サーバー プロファイルを LDAP プロファイルに設定し、ユーザー ドメインを NetBios ドメインに設定します。

更新間隔は、デフォルトでは 3600 秒 (60 分) です。ユーザーは、定期的にグループ間変更、この間隔を短く有益なことです。グループを含める] ボックスの一覧で、ファイアウォール上に取得するために具体的にどのグループを選択できます。

 

 

使用しようとしているグループを選択した後は、設定をコミットします。コミットが完了した後、これらのグループはセキュリティ ポリシー ユーザー フィールドで可能になります。

 

 

今ユーザー グループに基づいてセキュリティ ポリシーを作成できます。

 

 

CLI コマンド

 

いくつかの CLI コマンドは、すべてのユーザーが正しく設定されてグループの情報が正確なことを確認に便利来ることができます。

 

 

• ユーザー グループ名表示<groupname>を特定のグループのメンバーを表示するには</groupname>

> ユーザーグループ名を表示する "cn = ドメインユーザー, cn = ユーザー, dc = 例, dc = com"

短い名前: 例. com\domain のユーザー

ソースの種類: ldap
ソース: groupmapping [

1] 例. com\administrator [2] 例.
com\astark
[3] 例. com\bstark[4] 例 com\cgrimes [5] 例. com\dtargaryen [6] 例. com\jlannister [7] 例. 



com\jsnow
[8]


例. com\lgrimes [9] 例. com\rgrimes [10] 例 com\tlannister [11] 例. com\varys

 

• グループ マッピング プロファイル広告、refresh/last の前に時間の更新状態を表示するすべてのユーザー グループ マッピング状態を表示します。

> ユーザーグループの表示-マッピングの状態すべてのグループマッピング (vsys1、タイプ: active-ディレクトリ): groupmappingバインド DN: administrator@example.comベース: dc = 例、dc = comグループフィルタ: (なし)ユーザーフィルタ: (なし)サーバー   : 構成された1台のサーバー 10.192.16.98 (389)最終アクション時間: 3418 秒前 (0 秒)次のアクション時間: 182 秒でグループの数: 3 cn = it スタッフ、cn = ユーザー、dc = 例、dc = com の < c11> cn = 人的資源、cn = ユーザー、dc = 例、dc = com cn = ドメインユーザー、cn = ユーザー、dc = 例、dc = com            

 

• すべてを表示ユーザー ip ユーザ マッピングして、現在識別されたすべてのアクティブなユーザーとどのように彼らが同定されました。

> ユーザーの ip を表示する-ユーザーマッピングすべての

ip Vsys からユーザー IdleTimeout MaxTimeout (秒)
---------------------------------------------------------------------------------------
10.0.0.188 vsys1 UIA example\rgrimes                  1304 1304 
10.0.0.29 vsys1 cp example\administrator 561 2593
合計: 2 ユーザー

> 表示ユーザーの ip-ユーザー-マッピングすべてのタイプの
AD アクティブディレクトリ
CP キャプティブポータル
EDIR     eDirectory
の GP グローバル保護
sso sso
の syslog syslog
 UIA ユーザー ID エージェント
不明不明
XMLAPI XML API              

 

より便利な cli コマンドのためのユーザ ID cli チートシートをチェックしてください。

 

UID の展開の計画に関するその他の有用な情報:

 

ユーザー ID の展開をセキュリティ保護するためのベスト プラクティス

 

エージェントによって読み取られるイベント ID の完全なリストは、管理者ガイド に記載されています。

 

私はこの記事が好き願っています。お気軽に下記のコメントを残します。

また、開始時には、以前のエピソードをチェックアウトしてください: シリーズ。

 

トム