Sonicwall LDAP Entegrasyonu (v6.5 üzerinden)

Merhaba,

Bu makalemizde Sonicwall’ un v6.5 üzerinden LDAP entegrasyonun nasıl yapıldığını anlatacağım. Bu entegrasyon size güvenlik politikalarınızın user veya gruplara göre yazılması ve raporlaması konusunda ciddi avantaj sağlayacaktır. Bu işlem için cihazınızın lisanslı olmasına gerek yok. Ayrıca eski versiyonlara göre çok daha performanslı ve sorunsuz çalıştığını söyleyebiliriz. V6.5 ile gelen önemli bir özellikte multi-domain özelliğidir. Entegrasyon esnasında yaşanabilecek olası client authentication failed olmasına karşı nasıl önlem almanız gerektiğinden de bahsedeceğim. İsterseniz başlayalım ;

  • SonicOS 6.5’da LDAP Entegrasyonu

Öncelikle arayüzden Manage butonuna tıklayın.Users | Settings | Authentication’a menüsünden ve LDAP + Local Users’ı seçin ve Configure LDAP butonuna basarak yapılandırmaya başlayalım.

SonicWall cihazınıza HTTPS yerine HTTP ile bağlandıysanız, dizin servislerinde depolanan bilgilerin hassas niteliğini size bildiren ve bağlantınızı HTTPS’e çevirmenizi öneren ve sizi uyaran bir iletişim kutusu göreceksiniz. Bağlı olduğunuz arayüz için HTTPS yönetimi etkinleştirilmişse (önerilir) ” Do not show this message again ” kutusunu işaretleyin ve Yes butonuna tıklayın.

NOT: SonicOS 6.5, kullanıcı kimlik doğrulaması partitioning ve birden fazla LDAP Sunucusu için destek sunar. Tüm platformlarda birden fazla LDAP Sunucusu desteklenmektedir.

Kullanıcı Kimlik Doğrulaması Partitioning ve birden fazla LDAP Sunucusu hakkında daha fazla bilgi için “Authentication Partitioning and Multiple LDAP Servers“’dan bilgi alabilirsiniz.

  • Settings sayfasında, LDAP Servers’a tıklayın ve server konfigürasyonunu girmek için add butonuna tıklayın.
    • Name or IP address:  Kimlik doğrulama yapmak istediğiniz LDAP sunucusunun FQDN’i veya IP adresi. Bir isim kullanıyorsanız, DNS sunucunuz tarafından çözümlenebileceğinden emin olun. LDAP sunucusunun IP adresi.
    • Port Number: Varsayılan olarak LDAP’ın üzerinde TLS port numarası TCP 636’dır. Varsayılan LDAP (şifrelenmemiş) port numarası TCP 389’dur. LDAP sunucunuzda özel bir dinleme portu kullanıyorsanız, onu burada belirtin.
    • Server timeout (seconds): SonicWall’in zaman aşımına uğramadan önce LDAP sunucusundan gelen bir yanıtı saniye olarak bekleyeceği süre. İzin verilen aralıklar 1 ila 99999, varsayılan 10 saniyedir. Genel işlem zaman aşımı (dakika): 5 (Varsayılan)
    • Use TL(SSL) : LDAP sunucusunda oturum açmak için Taşıma Katman Güvenliği (Transport Layer Security) TLS (SSL)’i kullanınız.

NOT:  SonicOS 6.5, RADIUS ve LDAP kimlik doğrulamasında PAP kimlik doğrulama protokolünü kullanmak yerine MSCHAPv2’yi zorlamak için iki yeni onay kutusu sağlar. CONFIGURE LDAP sayfasında PAP’ı MSCHAPv2’ye zorlamak için Users | Settings içinde bir onay kutusu eklenmiştir.

    • Anonymous Login – Bazı LDAP sunucuları ağaca anonim olarak erişilmesini sağlar. Sunucunuz bunu destekliyorsa (Active Directory genellikle desteklemez), bu seçeneği seçebilirsiniz.
    • Login User Name – LDAP dizininde oturum açma hakkı olan bir kullanıcı adı belirtin. Giriş adı otomatik olarak LDAP sunucusuna tam ‘DN’ gösterimi ile sunulacaktır.

 

Bu, LDAP okuma özel hakkına sahip herhangi bir kullanıcı hesabı olabilir (admin olarak herhangi bir kullanıcı hesabı) – Domain yöneticisi ayrıcalıkları gereklidir. Bunun, kullanıcının oturum açma kimliği değil, kullanıcının görünen adı olduğuna dikkat edin.

  • Schema sekmesine tıklayın ve aşağıdaki alanları yapılandırın:
  • LDAP Schema: Microsoft Active Directory

  • Directory sekmesine tıklayın ve domain isminizi tanımlayın: Auto Configure diyip , tüm ağaç yapınızda bulunan user ve grupları bu liste altında getirecektir, getirmediği user/grupları siz elle ekleyebilirsiniz.

LDAP Kimlik Doğrulamasının Başarısız Olması

LDAP Kimlik Doğrulama işlemine öncelikle genel bakış yapalım.

  1. SonicWall, 389 numaralı porttan (veya TLS kullanılıyorsa 636 nolu porttan) LDAP sunucusu ile bir TCP bağlantısı kurar.
  2. SonicWall LDAP sunucusuna, Oturum açma kullanıcı adı biçiminde olan DN’i (Distinguished Name) (Settings sekmesi) + sunucuda oturum açmak için kullanıcı ağacını (Directory sekmesi) kullanarak kimliğini doğrulayarak bağlanır.

Bu örnekte, LDAP istek bağlamadaki (bindRequest’teki) isim cn=Administrator,cn=Users,dc=mydomain,dc=com
3.    LDAP sunucusundan bağlama cevabı ‘success’ (başarılı) ise, ardından SonicWall, istemcinin kullanıcı adını filtre olarak kullanarak kullanıcıları içeren ağaçları (Dizin sekmesi) sorgular. Bu örnekte, istemci kendisini ‘oprime’ olarak kimliğini doğrulamaya çalışmaktadır, böylece SonicWall “sAMAccountName=oprime” filtresini kullanarak “cn=Users,dc=mydomain,dc=com” temel nesnesini sorgulayacaktır:

4.   LDAP sunucusu “cn=Optimus Prime,cn=Users,dc=mydomain,dc=com”’a benzeyecek olan kullanıcının tam DN’i ile cevaplar.

  1.   Şimdi kullanıcının tam DN’ine sahip olan SonicWall, LDAP sunucusu ile port 389’dan (veya TLS kullanılıyorsa port 636’dan) yeni bir TCP bağlantısı sağlar böylece bir kullanıcı gibi kimliğini doğrulamaya çalışabilir. SonicWall sunucuya kullanıcının tam DN’ini (cn=Optimus Prime,cn=Users,dc=mydomain,dc=com) kullanarak bir bağlantı talebi gönderir.

  2.  LDAP sunucusu sonuç kodu ile cevap verir – succeeded – (başarılı) ve kullanıcı kimlik doğrulamasının başarılı olduğu anlamına gelen kullanıcının hangi gruba üye olduğuna dair bilgiyi gösterir.

 “LDAP client authentication failed” hata mesajı istemcinin (Client’ın) kullanıcı adını veya şifresini kullanan kimlik doğrulamasının başarısız olduğu anlamına gelmektedir. Bu aşağıdaki durumlardan herhangi biri uygun olduğunda meydana gelebilir:

 ÖRNEK: Sorun giderme (Troubleshooting) adımları

1.     Kullanıcı mevcut değil veya kullanıcılar içeren Ağaçlardan birinde yer almıyor (Directory sekmesi). (The User doesn’t’t exist, or doesn’t reside in one of the Trees containing users (Directory tab).)  LDAP sunucusunu kontrol edin ve kullanıcı nesnesinin kullanıcıları içeren ağaçların birinde olduğundan ve doğru yazıldığından emin olun.

  1. Şifre – Password hatalı.  Kullanıcının şifresini iki kere kontrol edin.
  2. Kullanıcı adında ya da şifresinde özel karakterlerBirçok özel karakter uygun olabilir, ancak ( !, @, ‘ , ve , gibi) karakterler bu sorunlara neden olabilirler. Bununla ilgili sorunları gidermek için, kimlik doğrulamasını özel karakter içermeyen bir kullanıcı adı veya şifreye sahip bir hesap ile test edin.

799 total views, 8 views today

About Author

Mustafa Akçin
admin@mustafaakcin.com

Bir Cevap Yazın

%d blogcu bunu beğendi: