Otentifikasi pengguna AD/Samba DC
Sinkronisasi dengan pengontrol domain ditangguhkan jika pengguna Ideco NGFW lokal berada dalam grup AD. Untuk melanjutkan sinkronisasi, hapus pengguna lokal dari grup AD. Sinkronisasi otomatis akan terjadi setelah 15 menit.
Menyiapkan otorisasi pengguna
Semua jenis otorisasi tersedia untuk pengguna yang diimpor dari Direktori Aktif.
Otorisasi melalui log keamanan Direktori Aktif disarankan untuk digunakan bersama dengan otorisasi SSO.
Untuk pengguna yang diimpor dari Samba, semua jenis otorisasi tersedia, kecuali autentikasi melalui log keamanan.
Jika Anda menonaktifkan pengguna pada pengontrol domain yang telah diimpor, maka setelah mengaktifkannya, ID baru akan diberikan dan aturan pemfilteran yang dikonfigurasi sebelumnya tidak akan berfungsi lagi.
Jika domain yang dimasukkan NGFW memiliki kepercayaan yang dikonfigurasi dengan domain lain, maka pengguna domain tepercaya akan dapat masuk ke NGFW jika ketentuan berikut terpenuhi:
Autentikasi SSO digunakan untuk mengautentikasi pengguna domain;
Pengguna domain tepercaya harus berada dalam grup AD lokal di pengontrol domain, dan grup ini harus diimpor ke NGFW.
Setelah otorisasi, pengguna domain tepercaya akan ditambahkan ke grup AD Pengguna dari domain tepercaya di pohon pengguna NGFW.
Menyiapkan NGFW
Setelah mengisi kolom Nama Domain Ideco NGFW dan menyimpan pengaturan, sertifikat Let's Encrypt akan diterbitkan, pengguna akan diarahkan ke jendela otorisasi, melewati halaman pengecualian keamanan.
Jika sertifikat untuk domain tersebut telah diunduh di bagian Sertifikat, maka sertifikat yang diunduh akan digunakan dan sertifikat baru tidak akan diterbitkan.
Menyiapkan server Direktori Aktif Microsoft
Otorisasi melalui Log Keamanan Direktori Aktif:
Dengan otentikasi Log Keamanan Pengontrol Domain AD, pengguna akan diautentikasi ketika mereka mencoba mengakses Internet. Otentikasi otomatis tidak terjadi tanpa lalu lintas melewati NGFW, karena kebijakan otentikasi kompetitif digunakan.
Untuk mengaktifkan otorisasi log keamanan, konfigurasikan hal berikut pada pengontrol domain utama:
1. Di pengaturan Windows Firewall di semua pengontrol domain (atau domain), aktifkan Manajemen Log Peristiwa Jarak Jauh:
2. Tambahkan Ideco NGFW ke grup keamanan Pembaca Log Peristiwa:
3. Mulai ulang layanan Otorisasi melalui Log Keamanan Direktori Aktif di Ideco NGFW. Nonaktifkan pengaturan ini dan aktifkan kembali;
Saat mengubah kebijakan keamanan default untuk pengontrol domain, ikuti langkah-langkah berikut:
Untuk memperbarui kebijakan pengontrol domain, jalankan gpupdate /force
;
Jika otorisasi pengguna tidak terjadi saat login, Anda perlu memeriksa log keamanan untuk kejadian 4768, 4769, 4624.
Mengonfigurasi mesin klien untuk otentikasi web (SSO atau NTLM)
Untuk mengaktifkan otentikasi melalui browser web (menggunakan Kerberos atau NTLM), konfigurasikan Internet Explorer (browser lain akan mengambil pengaturannya).
Pastikan untuk menggunakan pengaturan autentikasi web, karena dalam beberapa kasus, pengguna perlu diautentikasi melalui browser (bahkan saat masuk melalui log keamanan).
Penyebab:
Log NTLM biasanya hanya berisi nama pengguna, alamat IP, dan waktu login dan tidak berisi semua informasi yang diperlukan untuk otorisasi penuh: grup keamanan, hak akses, dan atribut pengguna lainnya.
Masalah apa pun dengan log, seperti kerusakan, kehilangan data, atau keterlambatan perekaman, dapat menyebabkan masalah otorisasi.
Otorisasi hanya berdasarkan log mungkin kurang aman, karena log dapat dipalsukan atau dimodifikasi oleh penyerang.
Log mungkin direkam dengan penundaan dan sulit untuk memastikan bahwa semua data terkini dan konsisten pada waktu tertentu.
Otorisasi berbasis log mungkin memerlukan logika kompleks untuk memproses dan menganalisis log, yang dapat meningkatkan kemungkinan kesalahan dan mempersulit dukungan. *Menggunakan log saja mungkin tidak memberikan integrasi penuh dengan Direktori Aktif dan mungkin mengakibatkan terbatasnya kemampuan untuk mengelola dan mengonfigurasi hak akses.
Untuk mengatur otentikasi melalui browser web, ikuti langkah-langkah berikut:
1. Buka properti browser Anda dan buka tab Keamanan.
2. Pilih Intranet Lokal -> Situs -> Lanjutan.
3. Di jendela yang terbuka, tambahkan tautan ke Ideco NGFW dengan nama yang Anda masukkan ke dalam domain. Anda perlu menentukan dua URL: dari http://
dan dari https://
.
Contoh pengenalan Ideco NGFW ke domain example.ru
dengan nama idecoics
.
Untuk menerapkan pengaturan ke semua pengguna di mesin klien, ikuti langkah-langkah berikut:
1. Ikuti jalannya:
2. Masukkan penetapan zona untuk nama DNS Ideco NGFW (dalam contoh idecoics.example.ru) dengan nilai 1 (intranet). Tentukan dua tujuan skema kerja http dan https:
Saat masuk ke situs HTTPS, Anda harus mengizinkan browser mempercayai sertifikat Ideco NGFW. Untuk menghindari keharusan melakukan hal ini setiap saat, Anda dapat menambahkan sertifikat akar Ideco NGFW ke sertifikat akar tepercaya perangkat.
Pada halaman pengaturan browser Mozilla Firefox (about:config di bilah alamat), konfigurasikan pengaturan berikut:
network.automatic-ntlm-auth.trusted-uris dan network.negotiate-auth.trusted-uris menambahkan alamat antarmuka lokal Ideco NGFW (misalnya
idecoUTM.example.ru
);security.enterprise_roots.enabled yang disetel ke
true
akan memungkinkan Firefox memercayai sertifikat sistem dan memberi otorisasi kepada pengguna saat bernavigasi ke situs HTTPS.
Metode untuk mengautentikasi pengguna yang diimpor:
Via Agen Ideco - cocok untuk mengautentikasi pengguna server terminal (menggunakan Virtualisasi IP Desktop Jarak Jauh di server terminal);
Otorisasi berdasarkan alamat IP - cocok untuk pengguna dengan alamat IP tetap. Alamat IP pada NGFW harus ditetapkan secara manual ke setiap pengguna;
Otorisasi melalui VPN - cocok untuk mengautentikasi pengguna jaringan jarak jauh.
Mengonfigurasi otentikasi pengguna untuk koneksi langsung ke server proxy
Menyiapkan autentikasi pengguna transparan untuk koneksi langsung ke server proxy serupa dengan menyiapkan autentikasi SSO transparan. Satu-satunya kekhasan adalah nama DNS Ideco NGFW diindikasikan sebagai alamat server proxy.
Saat menghubungkan langsung ke proxy, jangan tentukan alamat IP Ideco NGFW sebagai gateway.
Last updated