Watchguard Active Directory Kimlik Doğrulaması Yapılandırma

Watchguard Firebox cihazlarınızı Microsoft Active Directory (DC) ile haberleştirerek kullanıcıların Firebox cihazınnız üzerinde oturum açmalarını sağlayabilirsiniz. Bu işlemin size birçok katkısı olabilecektir. Örneğin bir VPN yapılandırması yaptığınızda kullanıcılarınız DC üzerinde bulunan kullanıcı adı ve şifreleri ile bağlanmalarını sağlayabilirsiniz.

Networkünüz ne kadar büyük olursa olsun bütün etki alanlarınızı Firebox ile haberleştirebilirsiniz. Bunun için etki alanında bir sınırlama yada kısıtlama bulunmamaktadır. Kullanıcılar cihaz üzerinde kullanıcılarınızın kimliğini doğrularken sizin entegrasyon sağladığınız etki alanlarını seçebileceklerdir.

Her etki alanı için,  iki adet Active Directory sunucusu ekleyebilmektedir. Primary sunucu ve Secondary sunucu şeklinde çalışmaktadır. Eklediğiniz primary sunucu başarısız olursa, secondary sunucu kimlik doğrulama isteklerini tamamlamak için kullanılır. Ayrıca Active Directory sunucusu eklediğinizde, her bir sunucunun IP adresininden mi yoksa DNS adından mı erişeceğini belirleyip seçebilirsiniz.

Bunun dışında diğer bir kimlik doğrulama şekli olarak Watcguard tarafından geliştirilen kullanıcıların mevcut Active Directory alanlarından seçim yapmalarını ve kimlik doğrulamalarını sağlamak için Single Sign-On (SSO) yani Tek Oturum açma özelliğini kullanabilirsiniz. Bu SSO Client ve SSO Authentication Gateway şeklinde ayrılmaktadır. SSO Client programını Active Directory yardımı ile kullanıcılarınıza dağıtabilirsiniz. Authentication Gateway ise kurulup içine tanımlayacağız Active Directory sunucularını tanımlanmalıdır. Daha sonra Firebox cihazınız Authentication Gateway ile haberleşme sağlayacaktır. Bu sayede kullanıcılarınızı ip yerine Active Directory kullanıcı adı ile yetkilendirmesini sağlayacaktır. Bu yapılandırmayı yapmanızın diğer bir faydası da loglarda kullanıcı ipleri yerine direk Active Directory üzerinde bulunan kullanıcı adı yer alacaktır. Burada asıl önemli olan kısımda ip adresi değişmiş yada kullanıcı başka bir bilgisayarda oturum açmış olabilir. Ancak Firebox bunu algılayıp, sizin firewall kurallarınızda tanımladığınız kullanıcı adı sayesinde her zaman aynı kuraldan çıkmasını sağlayacaktır.

Bunların dışında aslında Watchguard Firebox üzerinde birçok authentication desteklenmektedir. Kurulum olarak sadece Active Directory ve Single Sing-On (SSO) Gateway anlatacak olsak ta konu olarak desteklediği protokoller RADIUS, SecureID, LDAP tır. Bunların dışında Single Sing-On (SSO) kimlik doğrulamaya dahil olarak Exchange mail sistemleri için “Single Sign-On Exchange Monitor”, Terminal Serverlar için “Terminal Services Agent” yer almaktadır. Bu konular içinde ayrıca bir yazı yayınlıyor olacağım.

Microsoft Active Directory Entegrasyonun Yapılması

Bu işlemlerin yapılması için öncelikle Watchguard Firebox cihazımıza bağlanıp sırası ile aşağıdaki menüleri takip ediyoruz.

1- Ana menüye giriş yapıldıktan sonra sırası ile AUTHENTICATOIN > Servers >Active Directory bölümüne giriş yapıyoruz.  

2- Bu bölümde ADD tıklıyoruz.

3- Açılan menüde Active Directory erişim bilgilerimizi gireceğiz. Burada daha önce bahsettiğim gibi eğer secondary active directory sunucumuz varsa opsiyonel olarak girebiliriz. Eğer yoksa atlayabiliriz. Buradaki önemli olan Search Base kısmıdır. Bu alanı doğru bir şekilde doldurmalıyız. Aksi halde kullanıcılarımız gelmeyecektir. Eğer çok büyük bir yapı içinde isek ve her kullanıcının active directory sunucusundan gelmesini istemiyorsak bu kısmı biraz daha detaylandırabilirsiniz. Bu konuda detaylı bilgi almak istiyorsanız Google’da Object Naming diye aratabilir ya da burayı tıklayabilirsiniz. Bunun dışında default olarak tanımlı gelen Time Out ve Deat Time zamanları vardır. Bunlar kullanıcı senkronizasyon ayarlarıdır. Bunları da ihtiyaca göre ayarlabilirsiniz.

 

 

Burada bir konudan daha bahsetmekte fayda var. Ancak buraya herhangi bir USER tanımlaması yapmanız gerekmiyor. Default olarak Active Directory’de bütün kullanıcıları çekme yetkisi mevcuttur.

4- Bu ekranda gördüğümüz gibi active directory bilgisini tanımlamasını yaptık.

5- Tekrar AUTHENTICATOIN > Servers ekranına döndüğümüzde “TEST CONNECTION FOR LDAP AND ACTIVE DIRECTORY” seçeneği ile kullanıcılarımızın gelip gelmediğini testini yapabiliriz.

 

Watchguard Firebox için Active Directory Kullanıcısı Ekleme

1- Active Directory tanımlamamız yaptığımıza göre artık kullanıcılarımızı tanımlayabiliriz. Bu işlem içinde sırası ile AUTHENTICATOIN > Users and Groups ekranında ADD diyoruz.

2- Gelen Ekranda gerekli bilgilerimizi dolduruyoruz. Ben burada User ekleyeceğim için User kısmını seçtim. Name kısmına da active directory kullanımın ismini girdim ve Authentication Server bölümünde tanımlamasını yaptığım domain bilgisini seçtim. Burada bu kullanıcı için limit koymamda istersem bunları da seçebiliyorum ve aynı kullanıcı geldiğinde ne yapılması gerektiğini belirtebiliyorum.

3- Ve artık kullanıcımın tanımlaması da bitmiştir.

4- Artık kullanıcımı Firewall policylerde ve diğer kullanıcı erişimi gerektiren oturum açma gibi işlemlerde active directory kullanıcımı seçip kullanabilirim.

Watchguard Firebox Single Sign-On (SSO) tanımının yapılması.

Bu işlem için öncelikle Firebox ana ekranında sırası ile AUTHENTICTION > Single Sing-ON ekranına geliyoruz. Bu ekranda “Enable Single Sign-On (SSO) with Active Directory” kısmını işaretliyoruz ve Authentication Gateway yazılımınızın kurulu olduğunu sunucunun bilgisini giriyoruz. İşlem bu kadardır. Single Sing-ON Gateway kurulumunu aşağıda yer almaktadır.

Authentication Gateway Kurulumunu

Kurulum işlemi için önce kurulum dosyasını indirmeniz gerekmektedir. Versiyon değişikliklerinde linkin bozulması durumu olduğu için link olarak belirtmiyorum. Ancak Support > Download Software üzerinden bunu indirebilirsiniz. İndirme işlemini tamamladıysanız devam edelim.

1- İndirdiğimiz WG-Authentication-Gateway_12_0.exe dosyasını çalıştırıyoruz ve Next diyoruz.

2- Kurulacak klasör sorulmakta default olarak bırakıp Next diyoruz.

3- Kurulacak özellikler sorulmakta Event Loglar üzerinden bilgi alınacak ise Event Log Monitör’de işaretleyebiliriz. Ancak burada dikkat edilmesi gereken Event Log Monitör kullanılacaksa sizden loğlara erişebilecek yetkiye sahip bir kullanıcı isteyecektir. Daha sonra Next diyoruz.

4- Start Menü üzerindeki kısa yolun ismini belirtmekte default olarak bırakıp Next diyoruz.

5- Burada yukarıda bahsettiğim loğlara erişim için bizden Domain Admin grubunda olan bir kullanıcı istenmektedir. Bilgileri girdikten sonra Next diyoruz.

6- Kurulumdan önce bize kurulum ile ilgili detay göstermektedir. Burada Next diyoruz.

7- Start Menü üzerinden Watchguard klasörünün altındaki WatchGuard SSO Agent Configuration Tool kısa yolunu çalıştırıyoruz. Burada default olarak 2(iki) kullanıcı bulunmaktadır. Admin ve status. Admin in şifresi default olarak readwrite tır.

8- Domain bilgilerimizi eklemek için açılan ana menü üzerinden Edit > Add Domain… kısmına tıklıyoruz.

9- Açılan menüde domain bilgilerimizi giriyoruz. Burada yine admin olan bir hesap girmeniz önem taşımaktadır. Çünkü loglardan eriştiği bilgiyi kullanacaktır. Bilgilerimiz doğru değilse bu adımı atlayamayacaksınız.

10- Bu işlemi tamamladıktan sonra kullanıcılarımız acitve directory sunucu kullanılarak çekilecektir. Bunun kontrolü için SYSTEM STATUS > Authentication List ekranını kullanabiliriz. Bu ekranda artık domainde olan ve firebox üzerinde Single Sing-On (SSO) oturum açmış kullanıcılarımızı görebiliriz.

Authentication Gateway Hakkında Extra Bilgi

1- User Managment Form bölümünde Authentication Gateway’i yönettiğimiz kullanıcı bilgileri bulunmaktadır. Bu alanda default gelen kullanıcıların şifresini değiştirebilir veya yeni kullanıcı ekleyebiliriz.

 2- SSO Agent Contacts Settings ekranında agent bilgi alma sırasını seçebiliriz. Buradaki önemli konu kullanıcılarımıza SSO Clinet kurulumu yaptıysak default olarak seçili gelmeyen SSO Clint kısmını aktif etmeniz olacaktır. Diğer bir konuda Contact Domain kısmıdır. Bu alanda da Event Log Monitör yada Exchange Monitor olarak kullandığımız sunucu var ise bu sunucularımızı buraya eklememiz gerekecektir.

3- SSO Port Tester ekranında ise kullanıcılarımız üzerinde SSO Client tın kullanmış olduğu portların durumlarını test ederek görebiliriz. SSO Client yazılımının 445,4116,4135,4136 portlarını kullandığını unutmayalım.

4- Kimlik doğrulama işleminin doğruluğunu doğrulamak için Kimlik Doğrulama Portalına bağlanmak için https: // [Firebox IP adresi]: 4100 adresini kullanabilirsiniz.

Leave A Comment

Your email address will not be published. Required fields are marked *