– Tích hợp Active Directory (AD) cho phép bạn hạn chế truy cập vào mạng và thực thi các Group Policy theo các nhóm thành viền trên Active Directory.
– Bây giờ, nền tảng xác thực Active Directory chỉ làm việc nếu một trong các điều kiện sau phải có:
- Domain Controller được cấu hình trong một VLAN trên thiết bị.
- Domain Controller trong một subnet có một static route được cấu hình trên thiết bị.
- Domain Controller có thể truy cập thông qua VPN.
– Nếu có nhiều Domain Controller trong cùng domain, tất cả chúng phải đáp ứng một trong những tiêu chí này để tích hợp Active Directory hoạt động bình thường.
! Lưu ý: Những thông tin được liệt kê ở đây được sử dụng để cấu hình chung cho các hệ điều hành. Tùy vào các tùy chọn riêng biệt của bạn và các bảng kê có thể khác nhau dựa vào phiên bản Windows Server được triển khai.
I/. Tích hợp với các Group Policy:
– Một Group Policy trong trang điều khiển Dashboard là một tập hợp các khả năng như giới hạn băng thông, lưu lượng truy cập và các quy tắc firewall rule, bộ lọc bảo mật, và các cài đặt bộ lọc theo nội dung có thể được áp dụng vào mỗi client.
! Lưu ý: Cisco Meraki Active Directory-Based Group Policy trên thiết bị Firewall MX không nên nhầm lẫn với Microsoft Active Directory Group Policy vì chúng không liên quan gì đến nhau.
II/. Lưu lượng dữ liệu:
– Firewall MX sử dụng dịch vụ Windows Management Instrumentation (WMI) của Microsoft để kéo một luồng liên tục từ các sự kiện trong Logon Security Events từ các Domain Controller được chỉ định trong miền Active Directory domain. Các sự kiện bảo mật chứa thông tin tin quan trong để cho MX biết các tài khoản user được đăng nhập vào với máy tính nào. Đặc biệt, các sự kiện này chưa địa chỉ IP của máy tinh và Windows username của người dùng đăng nhập.
– Firewall MX sẽ chạy qua các bước sau để xác định các nhóm người dung AD và áp dụng các nhóm chính sách được liên kết:
1. MX liên hệ an toàn với các Domain Controller được chỉ định cho AD domain, sử dụng TLS
2. MX đọc các sự kiên đăng nhập WMI từ Security Events của DC, để xác định các user đăng nhập vào bằng thiết bị nào.
3. MX liên kết tới DC bằng cách sử dụng LDAP/TLS để thu thập tư cách thành viên nhóm AD của mỗi người dùng.
4. Nhóm thành viên được thêm vào cơ sở dữ liệu của MX.
5. Nếu một nhóm thành viện của domain user khớp với một nhóm chính sách AD đang gán trong Dashboard, thì MX có thể áp dụng chính sách được liên kết cho máy tính của user.
– Vì MX đang tiếp tục thu thâp thông tin này từ các domain controller, nên MX có thể áp dụng chính xác policy trong thời gian thực bất kỳ khi nào một user mới đăng nhập vào.
! Lưu ý: Tại thời điểm này, MX không hỗ trợ gán các nhóm policy thông qua Active Directory cho các user đang kết nối qua Client VPN.
III/. Những lợi ích của tích hợp Active Directory:
– Bằng cách sử dụng Microsoft WMI và LDAP dựa trên tiêu chuẩn để tương tác với cơ sở hạ tầng mạng Active Directory, MX có thể thực hiện việc gán Active Directory-based Group Policy trong thời gian thực mà không cần cài đặt hoặc duy trì bất kỳ phần mềm nào trên các Active Directory Domain Controller cục bộ.
3.1. Tổng quan về cấu hình:
– Các bước dưới đây phác thảo những cấu hình cần thiết (cả trong Dashboard và Active Directory) để cho áp dụng AD dựa trên nhóm chính sách. Hãy đảm bảo làm theo mỗi bước dưới chính xác nhất có thể, để tránh các lỗi có thể khó xác định và giải được:
1- Tạo một trang Active Directory cho MX để các user xác thực đúng với các Domain Controller.
2- Bật kiểm tra bảo mật trên Active Directory Domain Controllers nên MX có thể nhận được tất cả các sự kiện đăng nhập liên quan.
3- Kích hoạt role của Global Catalog trên mỗi Domain Controller vì MX sử dụng LDAP/TLS qua TCP có port 3268.
4- Cài đặt một chứng chỉ số trên mỗi Domain Controller cho LDAP/TLS.
5- Chứng chỉ yêu cầu cho TLS
6- Tạo các nhóm trong Active Directory để gán vào các Group Policy trong Dashboard.
7- Thêm các user vào nhóm trong Active Directory.
8- Cấu hình các Group Policy trong Dashboard.
9- Cấu hình xác thực của AD (Active Directory Authentication) trong trang Dashboard.
10- Tạo nhóm LDAP để gán vào Group Policy trong Dashboard.
– Hiện tại không hỗ trợ truy vấn cho các server Microsoft Active Directory cấu hình không phải tiếng Anh.
– Tính năng này hiện đang được nhóm kỹ thuật xem xét. Và không có ETA và việc triển khai.
3.2. Tạo một Active Directory Site:
– Trong Active Directory, các Domain Controller được gán trong vào các sites. Những sites được gán các IP subnet. Domain users và máy tính xác thực bằng Domain Controller nằm trong site (IP subnet) mà chúng đặt. Mỗi xác thực tạo một mục đăng nhập trong Security Event Log ở Domain Controller. Vì vậy MX sử dụng các Security Events để xác định các user đã đăng nhập với máy tình nào, tất cả Domain Controller phục vụ đăng nhập trong một Active Directory site có các IP subnets tương ứng với subnet được cấu hình trên trang Dashboard.
– Trong ví dụ bên dưới, MX có các IP subnet là 10.0.0.0/24 và 192.168.0.0/24 được cấu hình dưới Addressing & VLANs. Các site của Active Directory cần được áp dụng cho cả 2 subnet.
– Cả hai IP subnet trên MX, đều là member của site trên Active Directory có tên là “Default-First-Site-Name“. Do đó, các địa chỉ IP của server DC1, DC1-UK, DC2, SE-Test, và WIN-K7346GNLZ29 nằm trong site phải được thêm vào Dashboard trên trang Active Directory trong Dashboard.
IV/. Bật kiểm tra bảo mật (Security Auditing) trên các Active Directory Domain Controller:
4.1. Explanation:
– Khi Active Directory Group Policy được bật, MX tiếp tục kéo một luồng của Security Events từ các Windows Active Directory Domain Controller. Sử dụng Logon Events ( port 540 & 4624) và Account Logon Events ( port 672 & 4768) chuyên biệt, MX có thể xác định các domain user đã đăng nhập vào với máy tính và địa chỉ IP của máy tính đó.Thông tin này được kết hợp với các user Group Membership được truy xuất từ tra cứu trong LDAP/TLS và địa chỉ IP hoặc MAC của máy tính được học thông qua Cisco / Meraki client detection (tự động phát hiện client). Bằng cách kết hợp các phần thông tin, chính sách lóc thích hợp có thể được áp dụng một các minh bạch ở thời gian thực cho từng máy tính dựa trên người dùng hiện đang đăng nhập. Nếu các Domain Controller được chỉ định trong Dashboard không bật Security Auditing, MX sẽ không thể liên kết các user với máy tính một cách minh bạch. Để đảm bảo rằng Domain Controller được cấu hình để kiểm tra Logon and Account Logon Events, hãy bật tính năng ghi log này bằng cách sử dụng Default Domain Controller Policy hoặc Local Computer Policy cho Domain Controller trong domain.
4.2. Cấu hình:
– Bước 1.Trên Domain Controller, mở Local Computer Policy sử dụng lệnh gpedit.msc trong Run.
– Bước 2. Chuyển hướng đến Computer Configuration > Windows Settings > Security Settings > Local Policies > Audit Policy.
– Bước 3. Xác nhận ‘Audit Account Logon Events‘ và ‘Audit Logon Events‘ được đặt thành ‘Success‘ như hình dưới:
!Lưu ý: Nếu các mục kiểm tra này không được đặt để ghi lại các sự kiện và tùy chọn để thay đổi bị chuyển thành màu xám, thì cài đặt này được xác đinh bởi Domain Group Policy, và bạn sẽ cần phải sửa đổi cài đặt này ở cấp độ Domain. Có thể tìm thấy cài đặt này bằng cách mở ứng dụng Group Policy trong Group Policy Management Editor của server và đi đến Computer Configuration > Policies > Windows Settings > Security Settings > Local Policies > Audit Policy.
4.3. Bật Global Catalog Role trên mỗi Domain Controller:
– Để một Domain Controller duy trì các sự kiện đăng nhập được sử dụng bởi MX để nhận dạng người dùng hoặc nhóm, nó phải đang chạy Global Catalog Role. Do đó, một bước cấu hình cần thiết là bật Global Catalog Role lên cho mỗi Domain Controller mà MX sẽ thăm dò.
4.4. Cài đặt một Digital Certificate (Chứng chỉ số) trên mỗi Domain Controller:
– Để giao tiếp với một Domain Controller, thiết bị Firewall MX sẽ cần thiết lập bảo mật Transport-Layer Security (TLS) để tất cả giao tiếp giữa MX và Active Directory sẽ được mã hóa. Là điều kiện tiên quyết với TLS, MX sẽ cần xác minh với Domain Controller. Việc này được thực hiện với chứng chỉ xác nhận.
– Chứng chỉ hiện có thể được sử dụng trên Domain Controller (miễn là nó đáp ứng các yêu cầu cần thiết cho TLS) hoặc chứng chỉ tự ký có thể được tạo trên.
4.5. Yêu cầu Certificate (chứng chỉ) cho TLS:
– Các ghi chứ sau đây mô tả các tham số certificate được sử dụng trong Windows Server, nhưng có thể được thảm khảo cho bất kỳ tham số của certificate nào.
– Trong tab General, kiểm tra các thuộc tính sau:
> Server phải có private key tương ứng. Để xác minh private key này đang tồn tại, hãy xem trong tab General của certificate và xác nhận lại dòng thông tin “You have a private key that corresponds to this certificate“.
> Xác nhận câu lệnh sau xuất hiện “This certificate is intended for the following purpose(s): Proves your identity to a remote computer“.
> Kiểm tra certificate vẫn còn hạn, dựa vào dòng giá “Valid from – to”.
– Trong tab Details: Giá trị của phiên bản phải chứa “V3“, cho biết đó là một certificate X.509 Version 3.
– Giá trị của Enhanced Key Usage phải chứa Server Authentication certificate (OID “1.3.6.1.5.5.7.3.1”).
– Giá trị của Subject phải tên miền FQDN của RADIUS server hoặc Active Directory server, ví dụ: myserver.mydomain.com.
– Giá trị của Public key phải được đặt thành “RSA (2048 Bits)“.
– Giá trị “Subject Alternative Name” phải chứa cú pháp “DNS Name=myserver.mydomain.com” trong đó tên DNS là FQDN của server. Điều này rất quan trong khi sử dụng Active Directory-based PKI (PKI dựa trên AD).
– Key usage phải chứa các giá trị “Digital Signature” và “Key Encipherment – “.
! Lưu ý: Trong Windows Server 2012, tùy chọn này có tồn tại dưới dạng “Data Encipherment.”.
4.6. Tạo các Group trong Active Directory:
– Vì MX sẽ được ánh xạ các nhóm của Active Directory với các chính sách của nó, các nhóm thích hợp sẽ phải được tạo trong Active Directory.
4.7. Thêm các User vào Group trong Active Directory:
– Khi người dùng đăng nhập vào domain, sự kiện đăng nhập sẽ bao gồm cả thông tin và nhóm quyền người dùng. Vì tư cách thành viên này xác định cho nhóm policy trên Dashboard sẽ được áp dụng, điều quan trọng là đảm bảo rằng các user được thêm vào các nhóm thích hợp trong Active Directory.
4.8. Cấu hình các Group Policy trong Dashboard:
– Một Group Policy trong Dashboard sẽ xác định các quy tắc và quy định trong mạng để áp dụng cho người dùng các policy đó. Điều này bao gồm giới hạn băng thông, quy tắc lọc nội dung hạn chế hơn hoặc ít hơn, quyền truy cập vào các subnet…
4.9. Cấu hình Xác thực Active Directory Authentication trong Dashboard:
– Các hướng dẫn sau giải thích cách thêm các Active Directory server vào Dashboard và bật xác thực AD cho các mạng client.
Bước 1. Đăng nhập vào Dashboard và đến Security & SD-WAN > Configure > Active Directory.
Bước 2. Từ menu Active Directory, chọn Authenticate users with Active Directory.
Bước 3. Đối với cài đặt Per-VLAN chọn Require logon via splash hoặc Default to network-wide settings (sử dụng cài đặt global). Bật đăng nhập qua splash sẽ nhắc người dùng mạng với trang splash nơi họ sẽ đăng nhập với thông tin đăng nhập của họ, nhưng không phải là điều kiện tiên quyết để tích hợp chính sách nhóm.
– Trong ví dụ bên dưới, chúng tôi yêu cầu đăng nhập qua splash cho VLAN và mạng mặc định cho server VLAN.
! Lưu ý: Trang MX AD splash xác thực hết hạn sau 2 ngày hoặc AD phát hiện một phiên đăng nhập mới trên client. Nút dọn dẹp ủy quyền trên dánh sách client không xóa uy quyền AD trang splash trên MX.
Bước 4. Đối với Active Directory Servers, click Add an Active Directory domain server. Nhớ thêm tất cả các Domain Controller chịu trách nhiệm cho các site/subnet mà MX xử lý. Trong ví dụ bên dưới, chúng tôi thêm 5 Domain Controller đăth trong Active Directory site.
Bước 5. Để thêm một Active Directory server, nhập các thông tin như bên dưới:
> Short Domain: tên viết tắt domain (hoặc tên NetBIOS), trái với tên miền đầy đủ (FQDN). Thông thương nếu FQDN là “mx.meraki.com“, thì Short domain là “mx“.
> Server IP: địa chỉ IP của domain controller.
> Domain admin: tài khoản admin cho MX có thể dùng để truy vấn vào AD server.
> Password: mật khẩu của tài khoản admin.
– Quyền của User để tích hợp AD.
– Mặc dù tài khoản tích hợp AD không nhất thiết phải là tài khoản domain admin, nhưng đây thường là cách dễ nhất để triển khai tính năng này. Nếu không thể sử dụng tài khoản domain admin hoặc không thích hợp, phải chắc rằng tài khoản có các quyền cần thiết để thực hiện các tác vụ sau:
> Truy vấn cơ sở dữ liệu người dùng qua LDAP
> Truy vấn thành viên nhóm qua LDAP
> Truy vấn domain controller qua WMI
Bước 6. Click vào Save .
V/. Tạo LDAP Group thành Group Policy Mappings trong Dashboard:
– Khi Active Directory đã được tích hợp thành công vào MX, các bước phác thảo cách ánh xạ các group policies trong Dashboard vào các nhóm trong AD:
Bước 1. Trong Dashboard, đi đến Security & SD-WAN > Configure > Active Directory > LDAP policies.
Bước 2. Click Refresh LDAP Groups để kéo các LDAP group từ các Active Directory server đã cấu hình dựa trên thông tin đăng nhập đã cung cấp trong dashboard.
! Lưu ý: Policy ánh xạ trong Dashboard được thực hiên trên FQDN của đối tượng group policy trong Active Directory. Nếu OU của bất kỳ đối tượng trong đường dẫn FQDN thay đổi, ánh xạ group policy sẽ cần được thêm lại trong Dashboard.
Bước 3. Trong Groups, chọn nhóm LDAP, và dưới Policy chọn chính sách nhóm thích hợp cho nhóm LDAP đó.
Bước 4. Click Save Changes ở cuối trang.
– Nếu một user là một phần của nhiều nhóm được chỉ định trong một Group Policy ánh xạ nhóm đầu tiên trong danh sách được áp dụng, họ sẽ không nhận được phối hợp của nhiều policy. Ví dụ, trong hìnhg dưới, nếu một user ở trong cả nhóm staff và executives, họ sẽ được gán với staff và chỉ nhận policy được cấu hình là policy của staff :
! Lưu ý: Chính sách nhóm Active Directory không hỗ trợ lồng ghép nhóm hoặc chồng chéo policy. Nếu một domain user là thành viên của một nhóm AD (vd: staff), và nhóm đó nằm trong một nhóm khác nữa thì Group Policy được gán (vd: executives), chính sách được gán (executives) sẽ không được áp dụng cho người dùng này.
– Cách tốt nhất để triển khai AD dựa trên group policy là thêm người dùng vào một nhóm AD duy nhất được ánh xạ tới một group policy duy nhất. Trong ví dụ dưới, một công ty có các cấp độ bảo mật khác nhau cho giám đốc (executives) và nhân viên (staff). Một user Bob là nhân viên và Billy là giám đốc. Trong trường hợp này, công ty tạo 2 nhóm AD, staff và executives. Bob được thêm vào nhóm staff và Billy trong nhóm executives. Do đó, Bob nhận được chính sách áp dụng cho nhân viên và Billy nhận chính sách của giám đốc:
VI/. Tích hợp Group Policies với MPLS:
– Một thiết bị Meraki MX phải được cấu hình chế độ Passthrough khi muốn lọc nội dung dựa trên Active Directory và các AD Domain controller được đặt ở phía trên hoặc giữa một mạng MPLS. Một số thông tin về luồng lưu lượng và lý do cho cấu hình bắt buộc này được giải thích bên dưới.
6.1. Cấu hình Chế độ Passthrough:
– Để hỗ trợ ánh xạ Active Directory Group Policy khi các máy chủ Active Directory được đặt giữa MPLS, Firewall MX phải đặt trong chế độ Passthrough. Điều này có thể được thực hiện bằng cách vào Security & SD-WAN > Configure > Addressing & VLANs trên Dashboard của Cisco Meraki và chọn Passthrough or VPN Concentrator.
– Trong chế độ này, thiết bị bảo mật Cisco Meraki MX hoạt động như là cấu nối Layer 2 và không làm thay đổi địa chỉ nguồn (source-IP) của lưu lượng truy cập đi qua uplink cổng WAN. Cấu hình này cho phép MX để truy vấn nhật ký bảo mật, lấy tên tài khoản của end-user và địa chỉ IP, và đồng thời áp dụng group policy tương ứng.
6.2. Cấu hình Chế độ định tuyến:
– Khi một thiết bị bảo mật MX được cấu hình cho chế độ định tuyến (Routed mode) và các Active Directory Domain Controller được đặt giữa kết nối MPLS, các yêu cầu xác thực sẽ đi qua đường WAN. Khi truyền uplink này xảy ra, một bản dịch NAT sẽ diễn ra và địa chỉ nguồn sẽ được thay đổi từ địa chỉ IP của thiết bị của user thành địa chỉ IP trên cổng WAN của thiết bị MX.
– Theo bài viết này, các log bảo mật của AD có chứa địa chỉ IP của thiết bị MX, thay vì địa chỉ IP của thiết bị end-user. Điều này ngăn MX biết thiết bị nào sẽ áp dụng các chính sách lọc nội dung nào dựa trên danh tính thiết bị. Do đó, cấu hình chế độ Định tuyến sẽ không hỗ trợ group policies dựa trên AD.
VII/. Tích hợp với Client VPN:
– Thiết bị bảo mật Cisco Meraki MX hỗ trợ xác thực Active Directory với Client VPN, vì vậy một client sẽ được yêu cầu cung cấp thông tin đăng nhập vào domain để kết nối qua VPN.
7.1. Luồng lưu lượng (Flow Traffic):
– Khi người dùng cố gắng kết nối với Client VPN, quá trình sau sẽ xảy ra:
Bước 1. Thiết bị của người dùng cố gắng thiết bị một VPN tunnel bằng L2TP qua IP.
Bước 2. Người dùng cung cấp thông tin đăng nhập tên miền hợp lệ của họ.
Bước 3. Thiết bị MX, từ LAN IP của nó, truy vấn vào Global Catalog qua TCP port 3268 (mã hóa sử dụng TLS) đến AD server được cấu hình trong Dashboard.
Bước 4. Nếu thông tin đăng nhập của user hợp lệ, AD server sẽ gửi phản hổi tới MX, hoàn tất bước xác thức.
Bước 5. MX cung cấp cho client một cấu hình IP trên subnet cho Client VPN, và client có thể bắt đầu giao tiếp trên mạng.
! Lưu ý: Tại thời điểm này, MX không hỗ trợ ánh xạ group policies qua Active Directory cho user kết nối thông qua Client VPN.
VIII/. Tổng quan về cấu hình:
– Để định cấu hình xác thực bằng Active Directory cho Client VPN, các bước cấu hình phải hoàn thành trên cả Dashboard và Active Directory, được nếu bên dưới:
8.1. Cấu hình Active Directory:
– Các yêu cầu sau phải được cấu hình trên mỗi AD server đang được sử dụng để xác thực:
- Mỗi AD server được chỉ định trong Dashboard phải giữ vai trò của Global Catalog.
- Vì giao tiếp giữa MX và AD server sẽ được mã hóa bằng TLS, một chứng chỉ hợp lệ với các tja, số phải được định cấu hình trên server.
- Nếu hiện không có chứng chỉ nào, cần phải cài đặt chứng chỉ tự ký (Self-Signed certificate).
- Nếu môt chứng chỉ đã có sẵn, phải đảm bảo rằng chứng chỉ đó đã được cấu hình với tham số cần thiết cho TLS.
- Thiết bị MX sẽ giao tiếp từ LAN IP của nó với mỗi AD server qua cổng TCP 3268 (hãy đảm bảo firewall hoặc ACL trong mạng không cấm port giao tiếp này).
– Khi xác thực bằng Active Directory được cấu hình, MX truy vấn Global Catalog qua cổng TCP 3268. Do đó AD server (Domain Controller) được chỉ định trong Dashboard cũng phải giữ vai trò là Global Catalog.
8.2. Cấu hình Dashboard:
– Bước 1. Trong Dashboard, chuyển hướng đến Security & SD-WAN > Configure > Client VPN.
– Bước 2. Nếu Client VPN vẫn chưa được bật lên, hãy quay trở lại tiến hành cấu hình Client VPN.
! Lưu ý: Để các user Client VPN có thể phân giải DNS nội bộ, tùy chọn Custom nameservers nên được cấu hình với một DNS server nội bộ. Tường lửa của server có thể cần được điều chỉnh cho phép các truy vấn từ subnet của Client VPN, và phương pháp tốt nhất quy định một server DNS public nên được liệt kệ cho tùy chọn phụ thêm.
– Bước 3. Đặt Authentication thành Active Directory.
– Bước 4. Trong Active Directory server, cấp một short domain name và địa chỉ IP của server, cũng như thông tin đang nhập cho admin của AD.
! Lưu ý: Nếu thông tin xác thực được cung cấp không có quyền hạn admin thi MX không thể truy vấn đến AD server.
– Bước 5. Click Save Changes.
8.3. Cấu hình Client:
– Các Client có thể sử dụng VPN client riêng của họ để kết nối tới Client VPN, có hoặc không có Active Directory.
8.4. (Tùy chọn) Phạm vi của Client:
– Do bản chất của xác thực Active Directory cho Client VPN, tất cả user sẽ có thể xác thực và kết nối tới Client VPN. Không có cách cho Dashboard-native giới hạn những người dùng có thể xác thực, tuy nhiên có giải pháp trong Active Directory cho phép phạm vi của người dụng để giới hạn bằng cách chỉ định quản trị viên domain với khả năng giới hạn nhóm.
! Lưu ý: Cấu hình này hoàn toàn phụ thuộc vào Active Directory. Tùy thuộc vào cách các nhóm của domain được quản lý, điều này không hoạt động trong một số môi trường – vui lòng tham khảo thêm các tài liệu của Microsoft và hỗ trợ cấu hình với Active Directory.
IX/. Kiểm tra:
– Sau khi hoàn tất các cấu hình trên, thiết bị Meraki sẽ có thể giao tiếp với Active Directory server sử TLS. Nếu không thành công, Microsoft cung cấp công cụ Ldp.exe để đảm bảo rằng dịch vụ LDAP đang chạy và tương thích với chứng chỉ hiện tại.
Xem tiếp...
