入门教程: 用户 ID
Resolution
还有什么可以我的防火墙?标识用户 !
让我们仔细看看选项可用来识别用户由其用户名和有了这些信息可以做什么。我们会去用户 ID 客户端的配置相比,无客户端部署、建立圈养的门户,和准备在安全策略中使用的组映射。
Windows 制备
你可以开始之前,下载用户识别代理。它可以在软件更新下的支持门户上找到。下载安装程序后,我们建议您安装在 Active Directory 服务器上,但这不是严格要求的如果你喜欢使用不同的服务器。由于 UAC (用户访问控制) 在 Windows 服务器上的设置,我们建议以管理员身份运行安装程序。使用以管理员身份运行选项打开一个命令提示符,请导航到包含的安装程序文件和 execue 从命令行安装程序的文件夹。
安装过程完成后,从开始菜单打开用户 ID 代理并转到安装程序。单击编辑来开始配置用户 ID 代理。
您将需要配置的第一件事是将作为运行该服务的用户名。确保至少授予该帐户以下权限 (不正确/不完整的权限可能导致"启动服务失败, 错误 1069" 错误消息) 请按照本文的步骤逐步设置用户权限:如何安装用户 ID 代理并防止 "启动服务失败, 错误 1069"
- 事件日志读取器(udit 和管理 Windows 2003 中的安全日志 )
- 服务器操作员 (以作为服务运行)
- DCOM 用户 (对于 WMI 探测)
如果这是有点令人困惑,现在作为管理员设置帐户,并在结束这篇文章,我已经向有关的文章,可以帮助你更好地理解和出用户 ID 代理部署计划添加更多的几个环节。
代理将在 logon_success 和 auth_ticket_granted/续订事件中选择 "管理指南 " 中列出的项目
- Windows Server 2003 — — 所需的事件的事件 Id 是 672 (身份验证票证授予)、673 (服务授予票证) 和 674 (票据授予更新)。
- Windows Server 2008/2012 年 (包括 R2) 或 MS Exchange — — 所需的事件的事件 Id 是 4768 (身份验证票证授予)、4769 (服务授予票证)、4770 (票据授予更新) 和 4624 (登录成功)。
最后,在 ActiveDirectory 制备列表中,请确保启用成功审核,所以 AD 日志中捕获的登录事件:
用户 ID 代理配置
现在让我们将 UID 代理配置。如果你还没有没有专用的用户,设置用户为管理员,以后可以改,当你舒适的安装程序,有一些时间来阅读进一步的建议。第一个选项卡的配置会让你设置用户名。
下一个选项卡将具有日志读取的频率。这将设置如何频繁地代理要轮询事件日志,查找成功登录事件将源 ip 地址和其相关联的用户帐户添加到用户 ip 列表。 在大多数情况下,建议使用 1 秒种的默认设置。
可以启用服务器会话来监视客户端的连接到服务器。这可以进来有用时大多数客户端都可以用于验证是否用户帐户是仍然登录和连接到其份额的广告上的驱动器映射。
客户端探测选项卡允许您控制如果和如何定期探讨客户端机器来看看是否仍然登录帐户。这些探测器将能够删除用户 ip 映射,在一台机器是登录到本地帐户或突然从网络上删除的情况下。一些规划是然而,必需的因为目标机器做需要支持这些探测器。A 失败探头由于防火墙策略,或者如果客户端并不授权用户 ID 代理帐户,wmi 将导致以及移除的用户 ip 映射。如果你不确定,如果您的客户将能够支持探索,现在禁用两个探测器。
缓存选项卡允许超时设置中用户 ip 映射的条目。特别是如果探测禁用这可贵的因为它允许您删除过时的用户 ip 映射。如果检测到 ActiveDirectory 成功日志事件,刷新超时。
在一个相当静态的办公环境,它是一个可以安全有此超时设置为 600 + 分钟,因为默认 kerberos 用户票据的寿命是 10 小时。在与多个用户共享工作站非常动态环境中,可能更有利于设置超时,以更短的时间。
代理服务选项卡允许您更改服务正在侦听传入的防火墙连接的默认端口。
我们现在离开的 eDirectory 和系统日志选项卡,往前走,单击确定。您将看到您刚才创建的配置和访问控制列表,您可以设置来限制哪些 IP 地址或子网可以连接到该用户 ID 代理的摘要。往前走,犯下新的用户 ID 代理配置。
快请确保该服务正在运行回到代理的主页面:
如果尚未启动代理,您可以手动启动它从这里。
接下来,我们将配置 ActiveDirectory 服务器代理要连接到,收集有关用户活动的信息。打开搜索页和打自动发现,这将通过使用本地计算机信息填充可用服务器的列表。可以手动添加额外的服务器。服务器是多宿主的情况下可以删除多余的条目,如果必要。
包含/排除列表允许您控制哪些子网应该或不应该监视用户登录事件。
监测页面现在应该开始填满新用户 ip 映射。用户 ID 代理第一次启动时它会经过最后 50.000 日志条目的 ActiveDirectory 并将然后监视每一秒的新条目。根据一天的时间和繁琐的您的服务器上的事件日志,它可能需要一段时间之前 (考虑到这一点时部署安全策略) 的源 IP 地址的一个可靠的数据库填充列表。
现在编写代理了,打开防火墙图形用户界面。在设备选项卡的用户标识,可以使用相同的参数,我们使用的用户 ID 代理配置无客户端的部署。这可能是在一个较小的环境或当对 ActiveDirectory 的访问不允许安装一款软件非常有用。我们不推荐使用无客户端部署在大型环境中,因为这可能导致很大的开销。
要连接到已安装的用户 ID 代理,我们需要跳到下一个选项卡并添加新的用户 ID 代理。
到代理,以便轻松地标识它,设置其 IP 和我们代理的配置的代理服务选项卡中配置的端口分配一个名称。如果作为一个集合点使用不同的防火墙,这种防火墙需要从防火墙中收集信息,只应使用收集器。在情况下,配置圈养门户支持 NTLM 身份验证的浏览器中,至少一个代理需要设置来充当代理。现在我们将展示如何设置 NTLM 一次才能给看你配置圈养门户,请启用此选项。
犯下这种配置,等待已连接光来了绿色。
下一步是为需要用户 Id 区启用用户鉴定。启用此选项,为面向 internet 区域不是 adviseable,除非用户识别 ACL 设置为只能为一个特定的子网,在该区域中执行用户 Id。如果不设置此值,防火墙将查询用户 ID 代理为每个连接到防火墙的外部接口的 IP 地址信息。
头到网络选项卡和开放区,打开信任区域并启用用户鉴定。
启用了所有所需的区域后提交配置。提交完成后,流量日志将开始显示用户信息:
圈养的门户网站
对于不能通过 Active Directory 事件日志的常规方式拿起任何用户,圈养的门户系统可以设置下一个浏览会话截获和用户的浏览器查询通过 NTLM 凭据信息或提供给用户输入的用户名和密码的 web 窗体。
用户可能会被重定向到门户页面请求身份验证,最佳的用户体验是有证书就地受信任整个组织,因此可用来创建服务器证书的证书颁发机构时,这将允许浏览器不弹出一条错误消息,当用户被重定向。如果没有本地 CA 可用,一个自签名的证书可以生成和手动导入到客户端来改善用户体验。
就是去设备选项卡并生成一个新的自签名的证书或导入组织证书。我创建了我作为一个证书颁发机构的证书,但这不是绝对必要的。作为共同的名字我设置我的接口的 IP 地址,我将使用作为重定向 IP,但如果你有一个内部 DNS 服务器,您可以设置 FQDN 像 captiveportal.mycompany.com,利用重定向。
接下来,您需要创建一个 SSL/TLS 服务配置文件,以便能够使用此证书作为俘虏门户服务器证书。选择 TLS 的最低和最高版本你想支持的门户网站:
再走一步我们可以配置圈养门户之前是要启用身份验证。转到 LDAP 服务器配置文件并为 Active Directory 服务器创建一个新的 LDAP 配置文件。
然后创建身份验证配置文件。请务必设置登录属性适合您的环境。Active Directory,这通常会是 'sAMAccountName'。
在高级选项卡,您可以限制组用户允许进行身份验证,但现在,我们要将此设置为全部。
接下来,配置圈养的门户。
你要启用重定向模式,如,将用户重定向到防火墙的接口上的登陆页面。这将允许在向用户呈现一种合适的浏览器体验上一步中创建的证书。如果离开了透明模式启用,防火墙将模拟原始目的地 URL,调用 HTTP 401 身份验证请求。然而,由于这种身份验证的线在性质,客户端将不适当的证书,并以总是会出现证书错误。
- 设置为圈养门户证书的 SSL/TLS 服务配置文件。
- 对 ldap 身份验证配置文件设置的身份验证配置文件。
- 设置重定向到防火墙的接口 IP 主机。正如前面提到的这可以将 FQDN 解析为 IP 和设置为通用名称在证书中。
用于重定向工作,需要对接口进行有响应页启用。这些可以通过一个界面管理配置文件来启用。在入门系列的 Layer3 安装中, 我们讨论了添加接口管理配置文件以允许 ping--我们可以编辑该配置文件, 也允许响应页:
最后一步是创建圈养门户政策。创建一个策略在哪里操作设置为浏览器挑战和创建第二个下面使用操作 web 窗体。浏览器挑战政策将尝试轮询用于 cmpatible NTLM 身份验证的浏览器。如果此操作失败,第二项政策将向用户显示 web 窗体填写用户名和密码。
组映射
既然您已经创建 LDAP 配置文件,一个额外的步骤将允许组信息要收集在 Active Directory 中。然后可以用这组信息来创建安全策略,将允许或拒绝用户基于他们的用户帐户和组成员身份。
在设备选项卡中的用户标识,转到组映射设置并创建新的配置文件。设置服务器配置文件的 LDAP 配置文件并将用户域设置为 NetBios 域名。
更新间隔为 3600 秒 (60 分钟),默认情况。如果您的用户之间组定期更改,它可能有助于减小此间隔。集团包括列表中,您可以选择具体哪个组检索到防火墙:
你选择你要使用的组后,提交配置。提交完成后,这些集团将成为在安全政策用户字段中可用的一次。
现在你可以生成基于用户组的安全策略:
CLI 命令
几个 CLI 命令可以派上用场,验证所有用户都已正确都标识和组的信息是准确:
- 显示用户组名称<groupname>以显示某一团体的成员</groupname>
>> 显示用户组名称 "cn = 域用户, cn = 用户, dc = 例如, dc = com"
简称: 示例. com \ 域用户
源类型: ldap
来源: groupmapping
[1] 例. com \ 管理员 [2] 示例. com \
astark
[3] 例. com \ bstark
[4] 例子. com \ cgrimes
[5] 示例. com \ dtargaryen
[6] 示例. com \ jlannister
[7] 例. com \ jsnow
[8] 示例. com \ lgrimes
[9] 示例. com \ rgrimes
[10]
示例. com \ tlannister [11] 示例。
- 显示用户组映射的状态所有查看刷新组映射配置文件广告时间在 refresh/last 之前的状态
>> 显示用户组映射状态所有
组映射 (vsys1, 类型: 活动目录): groupmapping
绑定 DN: administrator@example.com administrator@example. com
基: dc = com
组筛选器: (无)
用户筛选器: (无)
服务器 : 配置了1台服务器
10.192.16.98 (389)
上一动作时间: 3418 秒前 (花了0秒)
下一动作时间: 182 秒
组数: 3
cn = 它 staff,cn=users,dc=example,dc=com
> cn = 人力资源, cn = 用户, dc = 示例, dc = com
cn = 域用户, cn = 用户, dc = 示例, dc = com
- 显示用户 ip 用户映射所有看到所有目前已经确认的活跃用户和他们是如何被确定
>> 显示用户 ip-用户映射所有
ip Vsys 从用户 IdleTimeout MaxTimeout (s)
---------------------------------------------------------------------------------------
10.0.0.188 vsys1 律师协会示例 \ rgrimes 1304 1304
10.0.0.29 vsys1 CP 示例 \ 管理员 561 2593
总共: 2 个用户
> 显示用户 ip-用户映射所有类型
AD 活动目录
CP 固定门户
EDIR eDirectory
GP 全局保护
sso sso
日志日志
的用户 ID 代理
未知的未知
XMLAPI XML API
签出用户 ID CLI 作弊表以了解更有用的 CLI 命令.
关于规划 UID 部署其他有用的信息:
由代理读取的事件 ID 的完整列表可以在管理指南 中找到
我希望你喜欢这篇文章。请随时留下评论下面一节中。
请也看看以前的情节在入门: 系列.
汤姆