ÇözümPark'a hoş geldiniz. Oturum Aç | Üye Ol
 
Ana Sayfa Makale Video Forum Resimler Dosyalar Etkinlik Hizmetlerimiz Biz Kimiz

SonicWALL

Sonicwall v6.5 ile LDAP Entegrasyonu

Bu makalemizde Sonicwall’ un v6.5 üzerinden LDAP entegrasyonun nasıl yapıldığını anlatacağım. Bu entegrasyon size güvenlik politikalarınızın user veya gruplara göre yazılması ve raporlaması konusunda ciddi avantaj sağlayacaktır. Bu işlem için cihazınızın lisanslı olmasına gerek yok. Ayrıca eski versiyonlara göre çok daha performanslı ve sorunsuz çalıştığını söyleyebiliriz. V6.5 ile gelen önemli bir özellikte multi-domain özelliğidir. Entegrasyon esnasında yaşanabilecek olası client authentication failed olmasına karşı nasıl önlem almanız gerektiğinden de bahsedeceğim. İsterseniz başlayalım;

 

SonicOS 6.5’da LDAP Entegrasyonu

 

Öncelikle ara yüzden Manage butonuna tıklayın. Users | Settings | Authentication ’a menüsünden ve LDAP + Local Users ’ı seçin ve Configure LDAP butonuna basarak yapılandırmaya başlayalım.

clip_image001

SonicWall cihazınıza HTTPS yerine HTTP ile bağlandıysanız, dizin servislerinde depolanan bilgilerin hassas niteliğini size bildiren ve bağlantınızı HTTPS’e çevirmenizi öneren ve sizi uyaran bir iletişim kutusu göreceksiniz. Bağlı olduğunuz ara yüz için HTTPS yönetimi etkinleştirilmişse (önerilir) " Do not show this message again " kutusunu işaretleyin ve Yes butonuna tıklayın.



clip_image002 NOT: SonicOS 6.5, kullanıcı kimlik doğrulaması partitioning ve birden fazla LDAP Sunucusu için destek sunar. Tüm platformlarda birden fazla
LDAP Sunucusu desteklenmektedir.

Kullanıcı Kimlik Doğrulaması Partitioning ve birden fazla LDAP Sunucusu hakkında daha fazla bilgi için "Authentication Partitioning and Multiple LDAP Servers"’dan bilgi alabilirsiniz.

Settings sayfasında, LDAP Servers’a tıklayın ve server konfigürasyonunu girmek için add butonuna tıklayın.
 

Name or IP address: Kimlik doğrulama yapmak istediğiniz LDAP sunucusunun FQDN'i veya IP adresi. Bir isim kullanıyorsanız, DNS sunucunuz tarafından çözümlenebileceğinden emin olun. LDAP sunucusunun IP adresi.

Port Number: Varsayılan olarak LDAP’ın üzerinde TLS port numarası TCP 636'dır. Varsayılan LDAP (şifrelenmemiş) port numarası TCP 389'dur. LDAP sunucunuzda özel bir dinleme portu kullanıyorsanız, onu burada belirtin.

Server timeout (seconds): SonicWall'in zaman aşımına uğramadan önce LDAP sunucusundan gelen bir yanıtı saniye olarak bekleyeceği süre. İzin verilen aralıklar 1 ila 99999, varsayılan 10 saniyedir. Genel işlem zaman aşımı (dakika): 5 (Varsayılan)

Use TL(SSL): LDAP sunucusunda oturum açmak için Taşıma Katman Güvenliği (Transport Layer Security) TLS (SSL)’i kullanınız.


 clip_image003

                clip_image002[1] NOT: SonicOS 6.5, RADIUS ve LDAP kimlik doğrulamasında PAP kimlik doğrulama protokolünü kullanmak yerine MSCHAPv2'yi zorlamak için iki yeni onay kutusu sağlar. CONFIGURE LDAP sayfasında PAP’ı MSCHAPv2'ye zorlamak için Users | Settings içinde bir onay kutusu eklenmiştir.

 

 clip_image004


Anonymous Login Bazı LDAP sunucuları ağaca anonim olarak erişilmesini sağlar. Sunucunuz bunu destekliyorsa (Active Directory genellikle desteklemez), bu seçeneği seçebilirsiniz.

Login User NameLDAP dizininde oturum açma hakkı olan bir kullanıcı adı belirtin. Giriş adı otomatik olarak LDAP sunucusuna tam 'DN' gösterimi ile sunulacaktır.

 

Bu, LDAP okuma özel hakkına sahip herhangi bir kullanıcı hesabı olabilir (admin olarak herhangi bir kullanıcı hesabı)- Domain yöneticisi ayrıcalıkları gereklidir. Bunun, kullanıcının oturum açma kimliği değil, kullanıcının görünen adı olduğuna dikkat edin.

       clip_image005     

Schema sekmesine tıklayın ve aşağıdaki alanları yapılandırın:

LDAP Schema: Microsoft Active Directory

 

 clip_image006

Directory sekmesine tıklayın ve domain isminizi tanımlayın: Auto Configure deyip, tüm ağaç yapınızda bulunan user ve grupları bu liste altında getirecektir, getirmediği user/grupları siz elle ekleyebilirsiniz.

 

 

        clip_image007

LDAP Kimlik Doğrulamasının Başarısız Olması

LDAP Kimlik Doğrulama işlemine öncelikle genel bakış yapalım.

SonicWall, 389 numaralı porttan (veya TLS kullanılıyorsa 636 nolu porttan) LDAP sunucusu ile bir TCP bağlantısı kurar.

SonicWall LDAP sunucusuna, Oturum açma kullanıcı adı biçiminde olan DN’i (Distinguished Name) (Settings sekmesi) + sunucuda oturum açmak için kullanıcı ağacını (Directory sekmesi) kullanarak kimliğini doğrulayarak bağlanır. Bu örnekte, LDAP istek bağlamadaki (bindRequest’teki) isim cn=Administrator,cn=Users,dc=mydomain,dc=com:
clip_image008


LDAP sunucusundan bağlama cevabı 'success' (başarılı) ise, ardından SonicWall, istemcinin kullanıcı adını filtre olarak kullanarak kullanıcıları içeren ağaçları (Dizin sekmesi) sorgular. Bu örnekte, istemci kendisini 'oprime' olarak kimliğini doğrulamaya çalışmaktadır, böylece SonicWall "sAMAccountName=oprime" filtresini kullanarak "cn=Users,dc=mydomain,dc=com" temel nesnesini sorgulayacaktır:


clip_image009


LDAP sunucusu "cn=Optimus Prime,cn=Users,dc=mydomain,dc=com"’a benzeyecek olan kullanıcının tam DN’i ile cevaplar.

Şimdi kullanıcının tam DN’ine sahip olan SonicWall, LDAP sunucusu ile port 389’dan (veya TLS kullanılıyorsa port 636’dan) yeni bir TCP bağlantısı sağlar böylece bir kullanıcı gibi kimliğini doğrulamaya çalışabilir. SonicWall sunucuya kullanıcının tam DN’ini (cn=Optimus Prime,cn=Users,dc=mydomain,dc=com) kullanarak bir bağlantı talebi gönderir.

LDAP sunucusu sonuç kodu ile cevap verir- succeeded – (başarılı) ve kullanıcı kimlik doğrulamasının başarılı olduğu anlamına gelen kullanıcının hangi gruba üye olduğuna dair bilgiyi gösterir.

 

 “LDAP client authentication failed” hata mesajıistemcinin (Client’ın) kullanıcı adını veya şifresini kullanan kimlik doğrulamasının başarısız olduğu anlamına gelmektedir. Bu aşağıdaki durumlardan herhangi biri uygun olduğunda meydana gelebilir:

 

clip_image010 ÖRNEK: Sorun giderme (Troubleshooting) adımları

Kullanıcı mevcut değil veya kullanıcılar içeren Ağaçlardan birinde yer almıyor (Directory sekmesi). (The User doesn't’t exist, or doesn’t reside in one of the Trees containing users (Directory tab).)  LDAP sunucusunu kontrol edin ve kullanıcı nesnesinin kullanıcıları içeren ağaçların birinde olduğundan ve doğru yazıldığından emin olun.

Şifre- Password hatalı.  Kullanıcının şifresini iki kere kontrol edin. 

Kullanıcı adında ya da şifresinde özel karakterler var.  Birçok özel karakter uygun olabilir, ancak (! @, ‘ , ve , gibi) karakterler bu sorunlara neden olabilirler. Bununla ilgili sorunları gidermek için, kimlik doğrulamasını özel karakter içermeyen bir kullanıcı adı veya şifreye sahip bir hesap ile test edin.

Tarih : 21 Ocak 2018 Pazar 15:36 Yayınlayan: Mustafa Akcin

Yorumlar

Henuz Yorum Yok
Kimliksiz yorumlar seçilemez kılınmış durumdadır.

Bu Kategori

Hızlı aktarma

Etiketler