Güvenlik duvarlarının en önemli özelliklerinden birisi olan kimlik doğrulama yöntemleri sayesinde merkezi yönetim sistemi dahada kolay bir şekilde yapılmaktadır. Basit bir kaç kural ile hem kullanıcı hemde log yönetimi yanı sıra oluşturulan kullanıcı gruplarınıda bu sayede takip etmek mümkündür.Bu makalede palo alto ldap ayarlarını elimden geldiğince anlatmaya çalışacağım.
LDAP (Lightweight Directory Access Protocol) :
Lan hizmetlerinin yerelleştirilmesi ve farklı uygulamalardan gelen veri trafiklerine cevap verebilmek için Michigan Üniversitesi tarafından geliştirilen bir protokoldür. LDAP kimlik doğrulama gerektiren bir çok yapıda kullanıldığı için günümüzde en çok tercih edilen doğrulama yöntemlerinden birisidir.
LDAP Protokolü İşlemleri
İstemci TCP port 389 üzerinden LDAP oturumunu başlatmak için sunucuya istekte bulunur . LDAP sunucu üzerinden gerekli kimlik doğrulama işlemleri sonrasında istemci cihaza doğrulama başarılı / başarızı şeklinde cevap vererek talebi karşılar. LDAP kullanılan yapılarda uygulama üzerinde kullanıcı Login / Logout işlemlerini takip ederek başlatmış olduğu iletişimi keser / başlatır.
LDAP protokol işlemleri :
Bind – authenticate (bağlanma – kimlik doğrulama)
Güvenli bağlantı için TLS başlatma (LDAPv3)
Arama
Karşılaştırma
Ekleme
Silme
Değiştirme
DN (Distinguished Name) işlemleri
Unbind – Oturum sonlandırma
Palo Alto güvenlik duvarı üzerinde LDAP işlemleri için cihaz web arayüzüne erişim sağladıktan sonra aşağıdaki adımları takip edebilirsiniz. Eski versiyonlarda kimlik doğrulama işlemleri için domain servere SSO Agent kurmamız gerekiyordu fakat yeni versiyonlarda her hangi bir uygulama kurmamız gerekmemektedir.
İşlemimize LDAP Server Profile oluşturarak başlıyoruz.
Profile Name : Oluşturulacak profile verilecek isim.
Server List : Birden fazla serveri tek bir profilde doğrulamak için kullanılan bölüm.
Type : Doğrulama yöntemi
Base DN : Doğrulama sunucu bilgileri
Bind DN : Sunucuya bağlanmak için gerekli kullanıcı bilgileri
Password : Kullanıcı şifresi
Confirm Password : Şifre tekrarı
Bind Timeout : Bağlantı zaman aşımı Search Timeout : Arama zaman aşımı Retry Interval : Yeniden bağlanma süresi.
Bind DN alanında Administrator kullanıcısını kullanmak istemiyorsanız domain admin olan başka bir kullanıcı oluşturabilirsiniz. Diğer bir kullanım şekli [email protected] olarakta tanımlama yapabilirsiniz.
Eğer LDAP için SSL/TLS (Port 636) kullanmayacaksanız LDAP varsayılan portu olan 389 server tanımlarken boş bıraksanız bile otomatik olarak tanımlanacaktır.
Bağantı zaman aşımı ve yeniden bağlanma sürelerinde bir değişiklik yapmanıza gerek yok.
Server profilini oluşturduktan sonra kimlik doğrulama (Authentication) profili oluşturarak devam ediyoruz.
Type : Kimlik doğrulama yöntemi
User Domain : Domain serverimizin Netbios neyse o yazılmalıdır.
Login Attribute : sAMAccountName
Diğer ayarları resimdeki gibi yapabilirsiniz.
Authentication Profile ayarlarından sonra işlemlerimize User Identification bölümüyle devam ediyoruz.
Include / Exclude Networks bölümünde cihazın gerekli tarama işlemlerini yapabilmesi için domaine bağlı clientlerin subnetlerini giriyoruz.
Yukarıdaki tüm işlemleri yaptıktan sonra Group Mapping Settings bölümünden Domain Ou`ları tanımlıyoruz.
Server Profile : LDAP Server için daha önce oluşturmuş olduğumuz profil.
User Domain : Domain serverimizin NetBios adı.
Tüm bilgileri doğru ve eksiksiz girdiğinizde Group Include List ekranında tanımlamış olduğunuz domain bilgilerine ait Ou bilgileri Available Groups alanına gelecektir.
Domain serverden güvenlik duvarına aktarılmasını istediğiniz kullanıcı yada kullanıcı gruplarını seçerek + butonu ile Includes Groups içine atarak işlemleri tamamlıyoruz.
Yukarıdaki işlemler haricinde küçük bir kaç ayarda Domain server üzerinde yapılması gerekmektedir. Öncelikle Palo Alto ve Serverin haberleşmesine engel olmaması için Domain Serverdeki Windows Firewall Off durumuna getirilmeli.
Sonrasında Group Policy Management ekranında aşağıdaki ayarlar yapılmalıdır.
Audit Logoff ve Audit Logon alanları için gerekli ayarlarını yaparak tüm işlemleri tamamlamış olacaksınız.
Artık güvenlik duvarına çektiğiniz tüm kullanıcı ve kullanıcı grupları için güvenlik kuralı oluşturabilir yada var olan kuralları bu kullanıcılara uygulayabilirsiniz. Kullanıcı bazlı kural yazmak yerine Domain serverden çekilen Ou`lar için kural yazmanızı tavsiye ederim tabi önce kullanıcıları domain serverde sınıflandırmak gerekecek.
Bir sonraki makalede güvenlik duvarı üzerinde SSL vpn tanımlama ve domain kullanıcılarına vpn yetkisi işlemlerinden elimden geldiğince bahsetmeye çalışacağım.