1.Overview.
Với tính năng User Awareness bạn có thể cấu hình để xác định các nguồn nhằm lấy danh tính người dùng, cho mục đích ghi log và cấu hình. User Awareness sẽ giúp hiển thị log dựa trên người dùng thay vì dựa trên địa chỉ IP và thực thi kiểm soát truy cập cho người dùng và nhóm người dùng.
Để sử dụng User Awareness bạn phải cấu hình các phương pháp nhận dạng để lấy thông tin về người dùng và nhóm người dùng. Sau khi gateway có được danh tính của người dùng, các quy tắc dựa trên người dùng có thể được thực thi trên network traffic trong Access Policy.
User Awareness có thể sử dụng các nguồn sau để xác định người dùng:
+ Active Directory Queries: Truy vấn đến máy chủ AD (Active Directory) để lấy thông tin người dùng.
+ Browser-Based Authentication: Sử dụng cổng thông tin để xác thực người dùng được xác định cục bộ hoặc như một bản sao lưu cho các phương pháp nhận dạng khác.
2. Network Diagram
Bài viết hôm nay sẽ hướng dẫn các bạn cấu hình đồng bộ user từ AD lên Checkpoint Firewall sử dụng user được đồng bộ để xác thực VPN Remote Access và cấu hình policy theo group user đã đồng bộ.
3.Hướng dẫn cấu hình.
Bước 1: Cấu hình Active Directory Queries.
Ví dụ: Trên AD Server có 3 group: Accounting, Sale và IT.
Mỗi group có 1 user là: John, Kane, Kevin.
Trên giao diện quản trị của Checkpoint > Access Policy > User Awareness > Blade Control.
Click chọn ON User Awareness > Click chọn Active Directory Queries > Configure…
Trong Active Directory Queries, click chọn Define a new Active Directory và điền các thông số sau:
- Domain: Điền tên domain của AD
- IPv4 address: Điền địa chỉ IP của AD Server
- User name: Điền user domain (Nên đùng user admin domain)
- Password: Nhập password user
- User DN: Điền FQDN user (Ex: CN=Administrator,CN=Users,DC=vacif,DC=local).
Click chọn Discover, nếu không có thông báo lỗi nào là bạn đã queries thành công. Click Apply.
Khi bạn click chọn lại Configure, domain “vacif.local” sẽ xuất hiện trong bảng Use existing Active Directory servers.
Tiếp theo bạn di chuyển xuống phần User & Objects > User Management > Authentication Servers > Active Directory.
Click chọn “Permissions for Active Directory users”, trong Grant remote access permissions to: click chọn “Selected AD user group” để có thể sử dụng các user group đã được đồng bộ để xác thực VPN Remote Access. Click Apply.
Bước 2: Add các User Group cho Remote Access Users.
Bạn di chuyển đến phần VPN > Remote Access > Remote Access Users > Edit Permissions > Active Directory.
Ở đây bạn sẽ thấy các User Group đã được đồng bộ từ AD.
Bạn click chọn các User Group bạn muốn dùng để xác thực. Click Apply.
Như vậy bạn đã add thành công 3 Group: Accounting, Sales và IT.
Note: Bạn sẽ không thể chọn add 1 user cụ thể từ AD, bạn chỉ có thể chọn group có chứa user đó.
Bước 3: Kiểm tra xác thực VPN Remote Access sử dụng User Syn từ AD.
Bạn có thể tham khảo cấu hình VPN Remote Access sử dụng Checkpoint VPN Client qua bài viết sau: https://www.thegioifirewall.com/checkpoint-firewall-huong-dan-cau-hinh-vpn-remote-access-cho-users-su-dung-checkpoint-vpn-clients/
Kiểm tra kết nối VPN user Kevin nằm trong Group Accounting: Kết nối thành công
Kiểm tra kết nối VPN user Kane nằm trong Group Sale: Kết nối thành công.
Kiểm tra kết nối VPN user John nằm trong Group Sale: Kết nối thành công.
Bạn cũng có thể tạo Policy riêng cho group trong Access Policy > Firewall > Policy > New Policy.
Trong Source > Active Directory > chọn Group (Ex: Accounting).
