1.Mục đích bài viết
Ở bài viết trước thegioifirewall đã hướng dẫn các bạn cách cấu hình Catpive Portal để xác thực người dùng khi sử dụng internet bằng tài khoản local trên thiết bị Palo Alto.
Trong bài viết hôm nay thegioifirewall sẽ hướng dẫn các bạn cách cấu hình Captive Portal cũng với mục đích là xác thực người dùng khi sử dụng internet nhưng là bằng tài khoản từ AD Server có trong hệ thống.
2.Sơ đồ mạng
Chi tiết:
- Thiết bị tường lửa Palo Alto đã được kết nối internet thông qua cổng ethernet1/1 với IP WAN là 192.168.219.129.
- Vùng mạng LAN của thiết bị Palo Alto được cấu hình ở cổng ethernet1/2 cấp phát lớp mạng 10.145.41.0/24 bằng DHCP.
- Trong lớp LAN còn có 1 AD Server có IP 10.145.41.10/24, trên server này đã tạo 1 OU IT, trong OU IT có group Support, trong group Support có các user là user1,user2,user3.
- Máy tính Laptop 1 được kết nối tại port ethernet1/2 và nhận DHCP với IP 10.145.41.3/24.
3.Tình huống cấu hình
- Thegioifirewal sẽ thực hiện cấu hình Captive Portal trên thiết bị Palo Alto để khi các thiết bị trong vùng mạng LAN truy cập và sử dụng internet sẽ phải thực hiện xác thực bằng tài khoản đã đồng bộ từ AD Server.
4.Các bước thực hiện
- Tạo Certificate
- Cấu hình Decryption Policy
- Thêm Certificate vào Laptop 1
- Tạo SSL/TLS Service Profile
- Đồng bộ AD
- Tạo Authentication Profile
- Bật Captive Portal
- Tạo Authentication policy
- Kiểm tra kết quả
5.Hướng dẫn cấu hình
5.1. Tạo Certificate
Để cấu hình Decryption vào Device > Certificates Management > Certificates.
Click Generate để tạo certificate mới với thông số sau :
- Certificate Name : trusted-ca
- Common Name : 10.145.41.1 (địa chỉ IP cổng LAN)
- Certificate Authority : tích chọn Certificate Authority.
Nhấn Generate để tạo.
Click Generate để tạo 1 certificate mới khác với thông số sau :
- Common Name : untrusted-ca
- Common Name : untrusted
- Certificate Authority : tích chọn Certificate Authority.
Nhấn Generate để tạo.
Nhấn vào tên trusted-ca để chỉnh sửa như sau :
- Tích chọn vào ô Forward Trust Certificate.
Nhấn OK để lưu.
Tương tự với nhấn vào tên untrusted-ca để chỉnh sửa như sau :
- Tích chọn Forward Untrust Certificate.
Nhấn OK để lưu.
Tiếp theo tích chọn trusted-ca certificate và nhấn Export Certificate để tải xuống certificate này về máy tính.
5.2 Tạo Decryption Policy
Tiếp theo chúng ta sẽ tạo Decryption Policy, để tạo vào Policies > Decryption > Click Add và cấu hình với các thông số sau :
- Name : Decryption
- Source: Trust-Player3
- Destination: Untrust
- Service/URL Category : Any
- Options : Chọn Decrypt ở Action và chọn SSL Forward Proxy ở Type
5.3.Thêm Certificate vào máy tính
Trên khung tìm kiếm của Windows gõ mmc và nhấn phím Enter để mở Microsoft Management Console.
Chọn Console Root > Click File > Click Add/Remove Snap-in…
Bảng Add or Remove Snap-ins hiện ra, tích chọn Certificate và nhấn Add.
Bảng Certificates snap-in hiện ra, chọn Computer account > Next > chọn Local computer > nhấn Finish > Nhấn OK.
Vào Certificates (Local Computer) > click chuột phải vào Trusted Root Certification Authorities > Certificates > chọn All Task < Import.
Cửa sổ Certificate Import Wizard hiện ra, nhấn Next > ở mục File name nhấn Browse và tìm đến nơi bạn đã lưu certificate lúc export.
Nhấn Next > Finish để hoàn thành việc import.
5.4.Tạo SSL/TLS Service Profile
Vào Device > Certificate Management > SSL/TLS Service Profile.
Nhấn Add để tạo với các thông số sau:
- Name: local-portal
- Certificate: trusted-ca
- Min Version: TLSv1.0
- Max Version: Max
- Nhấn OK để lưu
Nhấn Commit và OK để lưu thay đổi cấu hình.
5.5.Đồng bộ AD
5.5.1. Cấu hình Service Features
Đầu tiên chúng ta cần cấu hình Service Features để routing một số service đến port đang kết nối với server AD.
Ở đây chúng ta sẽ routing các service như DNS, Kerberos, LDAP,UID Agent.
Để mở các service này chúng ta truy cập vào trang cấu hình của Palo Alto. Vào mục Device > Setup > Service > Service Features > Service Route Configuration.
Bảng Service Route Configuration hiện lên tích chọn Customize.
Để cấu hình dịch vụ chúng ta nhấp chuột trái vào dịch vụ cần cấu hình, ở đây mình chọn DNS, bảng Service Route Source hiện lên chúng ta sẽ chọn port ethernet1/2 ở Source Interface và ở Source Address sẽ tự động hiện lên IP của port ethernet1/2 là 10.145.41.10/24.
Click OK để lưu.
Các service còn lại chúng ta cũng thực hiện tương tự.
Click OK ở bảng Service Route Configuration để lưu.
Click Commit và OK để lưu thay đổi cấu hình.
5.5.2. Bật tính năng User Identification trên zone LAN
Để có thể đồng bộ user từ server AD chúng ta cần bật tính năng User Identification trên zone chứa các máy trạm đã john domain, ở đây chúng ta sẽ thực hiện bật tính năng này trên zone Trust-Player3.
Để bật vào Network > Zones > nhấp chuột trái vào zone Trust-Player3 > bảng Zone hiện lên > chúng ta sẽ đánh dấu vào ô Enable User Identification ở phần User Identification ACL.
Click OK để lưu.
Click Commit và OK để lưu các thay đổi cấu hình.
5.5.3. Cấu hình LDAP Service Profile
Để tạo vào Device > Server Profiles > LDAP > Click Add và tạo theo thông tin như sau :
- Profile Name : learningit
- Server List : click Add, nhập Name là adserver, LDAP Server là ip của server 10.145.41.10 và Port là 389.
- Ở Server Settings :
- Type : chọn active-directory
- Base DN : DC=learningit,DC=xyz
- Bind DN : administrator@learningit.xyz
- Password và Confirm Password : nhập password của tài khoản administrator.
- Bind Timeout : 30
- Search Timeout : 30
- Retry Interval : 60
- Required SSL/TLS secured connection : bỏ check nếu có.
- Click OK để lưu.
Click Commit và OK để lưu thay đổi cấu hình.
5.5.4. Cấu hình User Mapping
Để cấu hình vào Device > User Identification > User Mapping.
Ở đây chúng ta có 3 phần cần phải cấu hình là Palo Alto Networks User-ID Agent Setup, Server Monitoring, Include/Exclude Networks.
Ở phần Palo Alto Networks User-ID Agent Setup để cấu hình chúng ta click vào icon bánh xe phía bên phải, một bảng cấu hình sẽ hiện ra và cần cấu hình các thông số như sau.
Tab Server Monitor Account :
- User Name : learningit\administrator
- Password và Confirm Passoword : nhập mật khẩu của tài khoản administrator vào 2 ô này
- Kerberos Server Profile : None
Tab Server Monitor :
- Enable Security Log : check
- Server Log Monitor Frequency (sec) : 2
- Enable Session : uncheck
- Server Session Read Frequency (sec) : 10
- Novell eDirectory Query Interval (sec) : 30
- Syslog Service Profile : None
Tab Client Probing :
- Enable Probing : check
- Probe Interval (min) : 5
Tab Cache :
- Enable User Identification Timeout : check
- User Identification Timeout (min) : 120
- Allow matching usernames without domains : uncheck
- Click OK để lưu.
Tiếp theo chúng ta sẽ cấu hình Server Monitoring, click Add bảng User Identification Monitored Server hiện ra và cấu hình các thông số sau :
- Name : learningit
- Check Enable
- Type : Microsoft Active Directory
- Transport Protocol : WMI
- Network Address : 10.145.41.10
- Click OK để lưu
Cuối cùng là phần Include/Exclude Networks, click Add bảng Include Exclude Network hiện ra và cấu hình theo các thông số sau :
- Name : All
- Check Enable
- Discovery : Include
- Network Address : 0.0.0.0/0
- Click OK để lưu
Sau khi cấu hình xong chúng ta để ý ở phần Server Monitoring, status của server mà chúng ta kết nối đã hiện thị Connected.
Click Commit và OK để lưu thay đổi cấu hình.
5.5.5. Cấu hình Group Mapping Setting
Để cấu hình vào Device > User Identification > Group Mapping Settings > Click Add bảng Group Mapping hiện ra và chúng ta sẽ cấu hình Server Profile, Group Incude List.
Tab Server Profile :
- Name : learningit
- Server Profile : learningit
- User Domain : learningit.xyz
- Object Class (Gourp Object) : group
- Object Class (User Object) : person
- Check Enable
Tab Group Include List :
- Chúng ta sẽ nhấn vào mũi tên ở DC=learningit,DC=xyz để nó hiển thị danh sách các OU, Group mà nó đã đồng với AD sau đó chọn OU hoặc Group mà mình muốn sử dụng rồi ấn dấu “+” để chuyển nó qua bảng Include Group.
- Ở đây mình sẽ đồng bộ group support nằm trong OU IT.
- Click OK để lưu
Click Commit và OK để lưu các thay đổi cấu hình.
5.6. Tạo Authentication Profile
Chúng ta cần tạo Authentication Profile dành cho các user local để cho thiết bị tường lửa có thể dựa vào cái này để xác thực liệu tài khoản của người dùng dùng để đăng nhập có nằm trong danh sách được cho phép sử dụng VPN hay không và nếu có trong danh sách thì dùng để xác thực xem người dùng để đăng nhập đúng tài khoản và mật khẩu chưa.
Để tạo Authentication Profile vào Device > Authentication Profile > nhấn Add và cấu hình theo các thông số sau.
Tab Authentication:
- Name: Learningit Auth.
- Type: chọn LDAP.
- Server Profile: learningit.
- Password Expiry Warning: 7
- Username Modifier: chọn %USERDOMAIN%\%USERINPUT%
Tab Advanced:
- Tại bảng Allow List nhấn Add và chọn all.
- Nếu bạn chọn all tức là tất cả các user sẽ được sử dụng, bạn cũng có thể tùy chọn user mà mình muốn thay vì chọn all.
- Nhấn OK để lưu.
Nhấn Commit và OK để lưu các thay đổi cấu hình.
5.7.Bật Captive Portal
Vào Device > User Identification > Captive Portal.
Nhấn vào icon bánh xe và cấu hình theo các thông số sau:
- Tích chọn Enable Captive Portal.
- SSL/TLS Service Profile: chọn local-portal
- Authentication Profile: chọn Learning Auth
- Mode: chọn Redirect
- Tích chọn Enable tại Session Cookie
- Redirect Host: nhập vào IP của cổng LAN 10.145.41.1
- Nhấn OK để lưu
Nhấn Commit và OK để lưu các thay đổi cấu hình.
5.8.Tạo Authentication Policy
Vào Policies > Authentication > nhấn Add và tạo theo các thông tin sau:
Tab General:
- Name: Captive_Portal
Tab Source:
- Source Zone: chọn Trust-Player3 (đây là zone của vùng LAN)
Tab Destination:
- Destination Zone: chọn Untrust (Đây là zone của vùng WAN internet)
Tab Service/URL Category:
- Service: chọn service-http và service-https
Tab Action:
- Authetication Enforcement: chọn default-web-form
- Timeout (min): 60
- Tích chọn Log Authentication Timeouts
Nhấn OK để lưu.
Nhấn Commit và OK để lưu các thay đổi cấu hình.
Với cấu hình này thì chúng ta sẽ bắt người dùng phải xác thực khi họ sử dụng giao thức http và https để kết nối internet. Khi họ kết nối thì Palo Alto sẽ tự động chuyển hướng kết nối về đến trang web xác thực với ip 10.145.41.1 bắt user phải nhâp tài khoản mật khẩu đã tạo để xác thực.
Lý do chúng ta cần cấu hình Decryption là vì những traffic https đều là những traffic bị mã hóa khi đi qua tường lửa Palo Alto thì sẽ không nhận dạng được.
Vì vậy nếu muốn xác thực khi người dùng sử dụng https thì chúng ta cần cấu hình Decryption để tưởng lửa có thể nhận biết các traffic https đi qua để thực thi xác thực.
5.9.Kết quả
Chúng ta sẽ lấy Laptop 1 với IP 10.145.41.3 truy cập internet bằng trình duyệt web.
Lúc này trình duyệt sẽ chuyển hướng chúng ta sang trang web xác thực của palo alto.
Chúng ta cần nhập username và password mà chúng ta đã đồng bộ từ AD để xác thực, nếu xác thực thành công chúng ta sẽ được phép truy cập internet.
Việc xác thực thành công này cũng được thiết bị Palo Alto ghi lại log, để xem vào Monitor > Authentication.
Log này sẽ cung cấp cho các bạn biết được IP nào trong hệ thống đã xác thực và xác thực bằng user nào, user này được lấy từ đâu.
