WatchGuard Active Directory Authentication


Merhabalar,
Bu makalemizde WatchGuard ile Active Directory Authentication işleminin nasıl olduğunu göreceğiz. Bu işlemi yaparken aynı zamanda nelere dikkat etmemiz gerektiği, ortaya çıkan sorunları nasıl gözlemleyip çözebileceğimize de ayrıca değinmeye çalışacağım.

WatchGuard, Transparent Active Directory Authentication’ı desteklediği gibi aynı zamanda SSO (Single Sign-On) özelliği ile daha kolay ve yönetilebilir olan yetkilendirme biçimini de desteklemektedir. Makalemiz özellikle SSO üzerine yoğunlaşmıştır. Bildiğiniz gibi, Active Directory Authentication bize IP adresleri ya da “Alias”lar ile değil direk Active Directory kullanıcılarımız ile çalışmayı sağlayarak internet kurallarımızın daha kolay yönetilmesine olanak verir. Bir diğer avantajı ise oluşturduğumuz kurallarda kullanacağımız Active Directory gruplarını direk Active Directory’nin üzerinden yönetilebileceğimiz için WatchGuard üzerinden değil yetkisini değiştirmek istediğimiz kullanıcının grupları ile oynayarak basitçe uygulanmasıdır.

WatchGuard System Manager ile cihaza bağlandıktan sonra Policy Manager => Setup => Authentication Servers seçiyoruz.

Karşımıza gelen “Authentication Servers” ekranından “Add” tıklıyoruz.

“Add Active Directory Domain” ekrani geliyor karşımıza bu ekranda da “Add” diyoruz.

“Add IP / DNS name” ekrani geliyor karşımıza buraya Active Directory yapısının kurulu olduğu server’imizin IP adresini yaziyoruz ve “OK” tikliyoruz.

“Search Base” kısmına ise domain bilgilerini yazıyoruz ve “OK” tıklıyoruz.

Aşağıdaki gibi “Authentication Servers” listemize ekleniyor “OK” diyerek çıkıyoruz.

Gördüğünüz gibi herhangi bir kullanıcı adı ya da şifre girmiyoruz. Çünkü Active Directory herkes için ready-only yetkisini vermektedir. Böylece vereceğimiz kullanıcının şifresi değişse bile etkilenmeyecek bir yapı oluşturuyoruz.

Daha sonra Setup =>Authentication => Authentication Settings menü sırasından devam edip  SSO ile ilgili olan kısma gelerek SSO Agent’ı  kurduğumuz bilgisayarın IP adresini giriyoruz.

“Single Sign-On” sekmesinde  “SSO Agent IP adress” bölümüne Active Directory IP adresini yazıyoruz.

Bu ekrandan kısaca bahsetmek gerekirse; SSO Exceptions kısmı Active Directory’ye dahil olmayan bilgisayarlar yada kullandığımız diğer işletim sistemleri yüklü olan bilgisayarlarda bu kontrolün yapılmayacağını belirtir. Firewall Authentication kısmında bulunan Session Timeout AD‘ye logon olup aynı zamanda WatchGuard’da oturumu açılmış olan kullanıcının ne zaman logout olacağını belirtebildiğimiz bölümdür. Varsayılan olarak 0 gelmektedir ki bu “hiçbir zaman” anlamında gelir. Idle Timeout kısmında ise kullanıcı bilgisayarını kullanmadığında ne kadar zaman sonra oturumun sonlanacağını belirlediğimiz alandır. Yine varsayılan olarak 2 saattir. Burada bir parantez açmak gerekirse; kullanıcının açık bıraktığı ve kendini sürekli yenileyen bir web sayfası her yenilemede bu sayacı yeniden başlatmaktadır. Yani kullanıcının bilgisayarının başında bulunmadığı illaki Idle Timeout süresine takılmayacağı anlamını taşımaz. Bu bölümün hemen altında yeralan iki seçenek ile WatchGuard’a aynı anda aynı kullanıcı ile birden fazla bilgisayarda oturum açılması halinde nasıl davranacağını belirliyoruz. “Allow concurrent firewall authentication logins from the same account” seçeneği ile birden fazla bilgisayarda aynı kullanıcının login olmasına izin veriyoruz. “ Limit users to a single login session” seçeneğinde; ilk seçim “oturum açmış bir kullanının hesabı ile tekrar oturum açılmasını engelle”, ikinci seçim ise “ilk oturumu kapat ve yeni oturum yerinden tekrar oturum aç” anlamına gelir. Bu ayarlar tamamen oluşturacağınız politikaya göre sizin tercihinize bırakılmıştır. “Auto redirect user to authentication page for authentication” seçeneği kullanıcıların sisteme girerken otomatik olarak bir web sayfasına yönlendirilerek kullanıcı adı ve şifrelerini girmelerini sağlar. “Send a redirect to the browser after successful authentication” ile yetkilendirilmiş kullanıcının istediğiniz bir sayfaya yönlendirilmesini sağlayabilirsiniz.

Şimdi Active Directory de bulunan gruplarımızı WatchGuard’a ekleyelim.

Policy ManagerSetupAuthorized Users/Groups seçeneğine giderek aşağıdaki ekrana ulaşıyoruz.

 

“Authorized Users and Groups” ekraninda “Add” tikliyoruz.

Resimde görüldüğü gibi hem cihazın kendi database’ine oluşturduğumuz kullanıcı ve gruplar hem de Active Directory için kullanıcı/gruplar burada listelenmektedir. Fark şuradadır: Local database’e buradan kullanıcı/ grup eklenmez iken Active Directory için burayı kullanmak zorundayız.

“Authorize User and Groups” ekraninda  “Add” diyerek Active Directory ortaminda eklediğimiz group ekliyoruz.

Aşağıdaki örneklerini görebileceğiniz kullanıcı ve grubumuzu ekliyoruz. Kullanıcı/grupların buraya eklenmesinin amacı kurallar içerisinde kullanabilir hale gelmesidir.

 

Bu işlemlerden sonra Active Directory sunucumuza ya da bir başka bilgisayara (sürekli açık olan bir bilgisayar/sunucu tercih edilmelidir) WatchGuard’ın sitesinden elde edebileceğimiz WG-Authentication-Gateway.exe programını kuruyoruz. Program Next-Next şekliden kurulan bizden sadece admin haklarına sahip bir kullanıcı adı ve şifre bilgisi isteyen bir kuruluma sahiptir. Bunu bitirdikten sonra artık herşey kullanıcı/gruplarımızı kurallar içinde kullanmamıza bağlıdır. Bir örnek vermek gerekirse;

“Active Directory Authentication” tamamlandı.Kurallarımızın aktif olduğunu görmek için “Firebox Sistem maneger” üzerinde “Authentication List” i tıklıyoruz ve aşağıdaki gibi Active Directory server’imizin buraya geldiğini görüyoruz.

Client tarafinda dikkat etmemiz gerekenler Windows Firewall ayarlarinda dosya ve yazici paylaşimlarin açık olmasi gerekmektedir.

Ayrica Firewall ayarlarimizin kapalı olmasi gerekmektedir.Eğer firewall kapatmak istemiyorsak yine WatchGuard’ın sitesinden elde edebileceğimiz WG-Authentication-Client.msi programını client üzerinde kurabiliriz.  Tabiki ortamimizda çok fazla client olduğunu düşünürsek bu bu programin msi paketi olduğunu fark ettiyseniz bunu group policy yardimiyla clientlerimize yükleyebiliriz.

Bu adimlara dikkat ettikten sonra Firebox Sistem maneger üzerinde Authentication List i  tekrar geliyoruz ve oturum açtığımız clint bu listeye geldiğini görüyoruz.

Şimdi oluşturduğumuz kurali deniyoruz.

Gördüğünüz gibi WatchGuard Active Directory Authentication başarılı bir şekilde çalışıyor.

Bir sonraki yazimizda görüşmek dileğiyle…

 

 

 

Bir yorum ekleyin