Overview
Việc tạo nhiều tài khoản theo cách thủ công kèm theo bảo mật sẽ tốn nhiều thời gian và khó quản lý.Bài viết sẽ hướng dẫn giải quyết vấn đề này thông qua đồng bộ domain có các user đã được tạo sẵn trên windows server và xác thực bằng ứng dụng google authenticator(trên CH Play).
Sơ đồ mạng:
1.Sơ lược sơ đồ
-Ta dùng cổng WAN FPT sẽ là cổng VPN đi vào
-Chọn 1 cổng trên firewall với IP 2.2.2.250 cho vùng mạng DMZ tiến hành cấp phát DHCP,VMware Esxi thuộc DMZ ta đặt ip 2.2.2.100
-Windows SRV tạo OU và Group,user cho IT,và được cài remote desktop
-Ubuntu được cài web,và đã cài đặt SSH
2.Chi tiết nội dung cấu hình
Dùng user đã được đồng bộ AD sử dụng tài khoản đó làm tài khoản đăng nhập VPN,ta tiến hành thực hiện SSL Client to Site vào firewall (kèm xác thực OTP) ,kết quả nhận được user IT có thể remote desktop vào windows SRV và SSH vào Web SRV
3.Tiến hành cấu hình
3.1 Đồng bộ AD
Kết quả tạo OU,Group,user IT và Sale
Ta vào Authentication->chọn servers-> nhấn add
Server type:chọn active directory
Server name:có thể đặt tên theo ý muốn không ảnh hưởng đến cấu hình
Server IP/domain:điền địa chỉ IP server(ip server:2.2.2.20)
Connection security: chọn plaintext
Port:389
NetBIOS domain:điền tên domain(điền firewall)
ADS user name: điền administrator
Password:nhập mật khẩu của server
Domain name:điền tên đầy đủ AD server (ta điền firewall.local)
Search queries: nhập dc=firewall, dc=local
Nhấn save
Tiếp theo kiểm tra tệp vừa tạo,nhấn vào điểm màu vàng được đánh dấu
Làm theo những bước trong hình
Nhấn Start
Chọn dc=firewall, dc=local
Nhấn kí tự > để next
Chọn group IT và Sale rồi nhấn > để next
Để như mặc định
Nhấn vào > để next
Tiếp tục nhấn > để tới bước kết thúc
Kết quả:vào mục groups thấy group IT và Sale
3.2 Cấu hình SSL VPN client to site
3.2.1 Tạo groups VPN
Vào Authentication->chọn groups->nhấn add
Group name:điền tên theo ý muốn(điền SSL VPN Group)
Surfing quota: chọn unlimited internet access
Access time:chọn allowed all the time
Mục khác để mặc định
Nhấn save
Định danh cho lớp mạng VPN
Hosts and Services -> IP Host -> Add
3.2.2 Cấu hình SSL VPN
Ta vào Remote access VPN-> chọn SSL VPN->nhấn Add
Name:nhập tên tùy chọn(SSL VPN Remote Access)
Policy members:chọn groups IT ,Sale và SSL VPN Group
Permitted network resources (IPv4):chọn lớp mạng DMZ
Nhấn Apply để tạo
3.2.3 Cấu hình SSL VPN Global Setting
Override hostname:nhập địa chỉ IP WAN
Port:8443
Assign IPv4 addresses:nhập dải IP cần gán cho user khi thực hiện VPN(trùng với host ip_ssl_vpn)
Nhấn apply để tạo
3.2.4 Tạo rule cho VPN
Như hình
Cấu hình xác thực OTP
Chọn Authentication-> Multi-factor authentication (MFA) settings
Chọn như hình
3.2.4 Đăng nhập user portal
Với cú pháp https://địa_chỉ_IP_web_sophos
Truy cập trang user portal bằng u1(u1 là user đồng bộ AD từ windows server)
Nhấn login sẽ hiện thông tin và mã QR sau
Điện thoại Androi vào chplay tải app google authentication,sau đó quét đoạn mã rồi điền vào đây
Truy cập trang user portal lại bằng u1
Passcode lúc này =passcode củ+số xác thực trên ứng dụng google authentication
Đăng nhập thành công tải 2 mục sau cài vào máy tính
Tiến hành đăng nhập dùng tài khoản u1 đăng nhập
Kết quả:
Quá trình SSH tới Ubuntu
