Palo Alto Firewall LDAP (Active Directory) Integration

Ana Sayfa » Palo Alto Networks » Palo Alto Firewall LDAP (Active Directory) Integration

Merhaba ,

Güvenlik duvarlarının en önemli özelliklerinden birisi olan kimlik doğrulama yöntemleri sayesinde merkezi yönetim sistemi dahada kolay bir şekilde yapılmaktadır. Basit bir kaç kural ile  hem kullanıcı hemde log yönetimi yanı sıra oluşturulan kullanıcı gruplarınıda bu sayede takip etmek mümkündür.Bu makalede palo alto ldap ayarlarını elimden geldiğince anlatmaya çalışacağım.

LDAP (Lightweight Directory Access Protocol) :

Lan hizmetlerinin yerelleştirilmesi ve farklı uygulamalardan gelen veri trafiklerine cevap verebilmek için Michigan Üniversitesi  tarafından geliştirilen bir protokoldür. LDAP kimlik doğrulama gerektiren bir çok yapıda kullanıldığı için günümüzde en çok tercih edilen doğrulama yöntemlerinden birisidir.

LDAP Protokolü İşlemleri

İstemci TCP port 389 üzerinden  LDAP oturumunu başlatmak için sunucuya istekte bulunur . LDAP sunucu üzerinden gerekli kimlik doğrulama işlemleri sonrasında istemci cihaza doğrulama başarılı  / başarızı şeklinde cevap vererek talebi karşılar. LDAP kullanılan yapılarda  uygulama üzerinde kullanıcı Login / Logout işlemlerini takip ederek başlatmış olduğu iletişimi keser / başlatır.

LDAP protokol işlemleri :

  • Bind – authenticate (bağlanma – kimlik doğrulama)
  • Güvenli bağlantı için TLS başlatma (LDAPv3)
  • Arama
  • Karşılaştırma
  • Ekleme
  • Silme
  • Değiştirme
  • DN (Distinguished Name) işlemleri
  • Unbind – Oturum sonlandırma

Palo Alto güvenlik duvarı üzerinde LDAP işlemleri için cihaz web arayüzüne erişim sağladıktan sonra aşağıdaki adımları takip edebilirsiniz. Eski versiyonlarda kimlik doğrulama işlemleri için domain servere SSO Agent kurmamız gerekiyordu fakat yeni versiyonlarda her hangi bir uygulama kurmamız gerekmemektedir.

İşlemimize LDAP Server Profile oluşturarak başlıyoruz.

Profile Name : Oluşturulacak profile verilecek isim.
Server List : Birden fazla serveri tek bir profilde doğrulamak için kullanılan bölüm.
Type : Doğrulama yöntemi
Base DN : Doğrulama sunucu bilgileri
Bind DN : Sunucuya bağlanmak için gerekli kullanıcı bilgileri
Password : Kullanıcı şifresi
Confirm Password : Şifre tekrarı
Bind Timeout : Bağlantı zaman aşımı
Search Timeout : Arama zaman aşımı
Retry Interval : Yeniden bağlanma süresi.
Bind DN alanında Administrator kullanıcısını kullanmak istemiyorsanız domain admin olan başka bir kullanıcı oluşturabilirsiniz. Diğer bir kullanım şekli [email protected] olarakta tanımlama yapabilirsiniz.
Eğer LDAP için SSL/TLS (Port 636) kullanmayacaksanız LDAP varsayılan portu olan 389 server tanımlarken boş bıraksanız bile otomatik olarak tanımlanacaktır.
Bağantı zaman aşımı ve yeniden bağlanma sürelerinde bir değişiklik yapmanıza gerek yok.
Server profilini oluşturduktan sonra kimlik doğrulama (Authentication) profili  oluşturarak devam ediyoruz.
Type : Kimlik doğrulama yöntemi
User Domain : Domain serverimizin Netbios neyse o yazılmalıdır.
Login Attribute : sAMAccountName
Diğer ayarları resimdeki gibi yapabilirsiniz.
palo alto ldap
Authentication Profile ayarlarından sonra işlemlerimize User Identification bölümüyle devam ediyoruz.
palo alto ldap
Include / Exclude Networks bölümünde  cihazın gerekli tarama işlemlerini yapabilmesi için domaine bağlı clientlerin subnetlerini giriyoruz.
palo alto ldap
Yukarıdaki tüm işlemleri yaptıktan sonra Group Mapping Settings bölümünden Domain Ou`ları tanımlıyoruz.
palo alto ldap
Server Profile : LDAP Server için daha önce oluşturmuş olduğumuz profil.
User Domain : Domain serverimizin NetBios adı.
Tüm bilgileri doğru ve eksiksiz girdiğinizde Group Include List ekranında tanımlamış olduğunuz domain bilgilerine ait Ou bilgileri Available Groups alanına gelecektir.
Domain serverden güvenlik duvarına aktarılmasını istediğiniz kullanıcı yada kullanıcı gruplarını seçerek + butonu ile Includes Groups içine atarak işlemleri tamamlıyoruz.
Yukarıdaki işlemler haricinde küçük bir kaç ayarda Domain server üzerinde yapılması gerekmektedir. Öncelikle Palo Alto ve Serverin haberleşmesine engel olmaması için Domain Serverdeki Windows Firewall Off durumuna getirilmeli.
Sonrasında Group Policy Management ekranında aşağıdaki ayarlar yapılmalıdır.
Audit Logoff ve Audit Logon alanları için gerekli ayarlarını yaparak tüm işlemleri tamamlamış olacaksınız.
Artık güvenlik duvarına çektiğiniz tüm kullanıcı ve kullanıcı grupları için güvenlik kuralı oluşturabilir yada var olan kuralları bu kullanıcılara uygulayabilirsiniz. Kullanıcı bazlı kural yazmak yerine Domain serverden çekilen Ou`lar için kural yazmanızı tavsiye ederim tabi önce kullanıcıları domain serverde sınıflandırmak gerekecek.
Bir sonraki makalede güvenlik duvarı üzerinde SSL vpn tanımlama ve domain kullanıcılarına vpn yetkisi işlemlerinden elimden geldiğince bahsetmeye çalışacağım.
Faydalı olması dileği ile.

Palo Alto Firewall LDAP (Active Directory) Integration - Yorumlar

YORUMLARINIZI PAYLAŞIN

 

Yapılan Yorumlar

BENZER İÇERİKLERİlginizi çekebilecek diğer içerikler

www.irfankocak.com

İrfan KOÇAK - Tüm Hakları Saklıdır