Active Directory, in quanto repository centralizzato di utenti può essere utilizzato anche come sorgente di autenticazione per dispositivi quali Firewall, apparati di rete ed altro.
In questo articolo analizziamo come è possibile configurare Watchguard in modo che utilizzi l’Active Directory centralizzata al fine di definire utenti che possono effettuare l’amministrazione del Firewall stesso, oppure, sempre tramite AD consentire l’accesso tramite VPN SSL definite sul Watchguard.
Definizione delle sorgenti di autenticazione
Tramite l’accesso di gestione per mezzo del portale Web ( https://”ip-delFirewall”:8080) dal menù Authentication/Servers è possibile la scelta tra una serie di sorgenti di autenticazione, nel nostro caso utilizzeremo Active Directory.
Figura 1 Selezione Sorgente di Autenticazione su AD
A questo punto selezionando Active Directory procederemo con ADD e successivamente dovremo fornire le varie informazioni relative al dominio, o meglio ad un Domain Controller Primario e ad un DC secondario che verrà usato come alternativa in caso di indisponibilità del primario, dovremo poi specificare la “Search Base” relativa all’LDAP, è possibile specificare una particolare OU di ricerca per gli utenti.
I campi Group String e Login Attribute specificano le informazioni relative all’account di accesso sull’AD ( nel nostro esempio sono utilizzati i valori di dafault), è poi possibile specificare anche se la connessione avverrà tramite il protocollo LADP(s) ossia in modalità cifrata.
Figura 2 definizione del riferimento al Dominio di autenticazione
Se per ragioni di configurazione il FireBox non raggiungesse un DNS a conoscenza del dominio locale, è possibile specificare l’indirizzo IP dell’Domain Controller anziché il suo FQDN.
Proseguendo si procede al salvataggio della sorgente di autenticazione per il dominio, è comunque possibile definire più di un riferimento di autenticazione in modo da permettere ad utenti differenti di accedere tramite lo stesso dispositivo.
Verifica della configurazione
Terminato il salvataggio è possibile effettuare un test delle impostazioni, dove verranno richiesti utente/password di un account presente in AD
Figura 3 test dell’autenticazione su AD
Figura 4 risultato autenticazione corretta
Definizione dei permessi di accesso in VPN ad utenti AD
A questo punto si può procedere con l’attribuzione dei permessi di accesso in VPN SSL ad utenti residenti su Active Directory , con le impostazioni definite prima l’accesso avviene secondo l’appartenenza di un utente ad un gruppo definito in modo puntuale su AD, nel nostro esempio il gruppo i chiama SSLVpnAdmins
Figura 5 attivazione servizio VPN SSSL
Figura 6 impostazione del Gruppo e del server di autenticazione
Nelle impostazioni relative all’autenticazione, dovremo definire il gruppo AD sulla base del quale è consentito l’accesso agli utenti e dovremo anche configurare il server di autenticazione impostato in precedenza.
Figura 7 impostazione del nome gruppo
Nella figura 7 è riportata la modalità con cui è possibile definire il nome del gruppo che, in relazione al server di autenticazione verrà poi ricercato in Active Directory
Terminate le configurazioni viste sopra è possibile autenticarsi al Firebox direttamente al Portale Vpn Ssl con le credenziale definite su Active Directory è necessario in fase di accesso selezionare il dominio AD di riferimento nella forma.
Figura 8 accesso portale VPN
Definizione dei permessi di amministrazione del Firebox
Sempre sulla base delle autenticazioni analizzate in questo articolo è possibile fare si che determinati utenti di AD possano anche essere, o avere ruoli di amministrazione sul Firewall, i vari ruoli sono accessibili dal menù System/Users and Roles da cui è possibile attribuire i vari ruoli sulla base di un determinato utente dichiarato in Active Directory
Figura 9 definizione dei ruoli di gestione
Figura 10 impostazione del nome utente
Appunti e note tecniche 