[Palo Alto]Hướng dẫn cấu hình đồng bộ (Sync) các user từ Server AD với User-ID

Thảo luận trong 'Firewall Khác' bắt đầu bởi hainguyen, 17/12/20.

Tags:
  1. hainguyen

    hainguyen Member

    1. Mục đích bài viết:
    - Bài viết này sẽ hướng dẫn chúng ta cách đồng bộ User từ AD với thiết bị Firewall Palo Alto để chúng ta có thể dễ dàng quản lý người dùng thông qua user mà họ đang sử dụng.​
    [​IMG]

    2. Sơ đồ mạng, tình huống và các bước cấu hình:
    2.1 Sơ đồ mạng: Sơ đồ mạng sẽ có các thiết bị và thông tin mạng như sau:​
    [​IMG]

    - Cổng Ethernet1/1 của Palo Alto sẽ là cổng WAN ra internet qua giao thức PPPoE, và cổng Ethernet1/3 với ip 172.16.16.1/24 sẽ là cổng LAN.​
    [​IMG]
    - Trong mạng LAN chúng ta có 1 server AD với tên là Testlab.com có IP: 172.16.16.100/24 và 1 PC Windows 10 (IP: 172.16.16.200), đã john domain testlab.com và đang đăng nhập bằng tài khoản michael thuộc group Support và group này hiện đang thuộc OU IT.​
    [​IMG]

    2.2 Tình huống cấu hình:
    - Chúng ta sẽ thực hiện Sync từ server AD Testlab.com lên Palo Alto và thực hiện cấu hình các policy cho phép truy cập internet dựa trên các user đã được đồng bộ.​

    2.3 Các bước cần thực hiện:
    1. Cấu hình Service Features
    2. Bật tính năng User Identification trên zone LAN.
    3. Cấu hình LDAP Server Profile.
    4. Cấu hình User Mapping.
    5. Cấu hình Group Mapping Settings
    6. Cấu hình Authentication Profile
    7. Tạo Security Policy và kiểm tra kết quả.
    3. Hướng dẫn cấu hình:
    3.1 Cấu hình Service Features:
    - Đầu tiên chúng ta cần cấu hình Service Features để routing một số service đến port đang kết nối với server AD.
    - Ở đây chúng ta sẽ routing các service như DNS, Kerberos, LDAP,UID Agent.
    - Vào mục Device > Setup > Service > Service Features > Service Route Configuration.
    - Bảng Service Route Configuration hiện lên tích chọn Customize.​
    [​IMG]
    - Để cấu hình các Service chúng ta nhấp chuột trái vào dịch vụ cần cấu hình, ở đây mình chọn DNS, bảng Service Route Source hiện lên chúng ta sẽ chọn port ethernet1/3Source Interface và ở Source Address sẽ tự động hiện lên IP của port ethernet1/3172.16.16./24. Click OK để lưu.​
    [​IMG]
    - Các Service còn lại chúng ta cũng thực hiện tương tự.​
    [​IMG]
    [​IMG]
    [​IMG]
    - Tiếp theo, click OK ở bảng Service Route Configuration để lưu.​

    3.2 Bật tính năng User Identification trên zone LAN:
    - Để Sync user từ server AD chúng ta cần bật tính năng User Identification trên Zone có các máy trạm đã join domain, ở đây chúng ta sẽ thực hiện bật tính năng này trên zone LAN.
    - Để cấu hình vào Network > Zones > click zone LAN > tab Zone hiện lên > tick Enable User Identification > click OK để lưu.​
    [​IMG]
    3.3 Cấu hình LDAP Server Profile:
    - Để tạo mới vào đường dẫn: Device > Server Profiles > LDAP > click Add và set thêm các thông tin như sau:​
    • Profile Name: lab-active-directory
    • Server List: click Add, nhập Name: DC01, LDAP Server: 172.16.16.100, Port: 389.
    • Phần Server Settings:
      • Type: chọn active-directory.
      • Base DN: DC=testlab,DC=com.
      • Bind DN : administrator@testlab.com
      • Password + Confirm Password: nhập password của tài khoản Administrator.
      • Bind Timeout : 30
      • Search Timeout : 30
      • Retry Interval : 60
      • Required SSL/TLS secured connection: bỏ check nếu có.
    • Click OK để lưu lại.
    [​IMG]
    3.4 Cấu hình User Mapping:
    - Để cấu hình vào Device > User Identification > User Mapping.
    - Chúng ta có 3 phần cần phải cấu hình là Palo Alto Networks User-ID Agent Setup, Server Monitoring, Include/Exclude Networks.
    - Trog phần Palo Alto Networks User-ID Agent Setup click vào icon bánh xe phía bên phải, một bảng cấu hình sẽ hiện ra và cần cấu hình các thông số như sau.
    - Tab Server Monitor Account:
    • User Name: testlab.com\Administrator
    • Password và Confirm Passoword: nhập mật khẩu của tài khoản administrator vào 2 ô này
    • Kerberos Server Profile: None
    [​IMG]

    - Tab Server Monitor :
    • Enable Security Log: tick chọn để kích hoạt
    • Server Log Monitor Frequency (sec): 2
    • Enable Session: uncheck
    • Server Session Read Frequency (sec): 10
    • Novell eDirectory Query Interval (sec): 30
    • Syslog Service Profile: None
    [​IMG]

    - Tab Client Probing:
    • Enable Probing : check
    • Probe Interval (min) : 5
    [​IMG]

    - Tab Cache :
    • Enable User Identification Timeout: tick chọn để kích hoạt
    • User Identification Timeout (min): 120
    • Allow matching usernames without domains: uncheck
    • Click OK để lưu lại.
    [​IMG]

    - Tiếp theo là cấu hình cho Server Monitoring, click Add bảng User Identification Monitored Server hiện ra và cấu hình các thông số sau:
    • Name: TESTLAB
    • Check Enable
    • Type : Microsoft Active Directory
    • Transport Protocol : WMI
    • Network Address : 172.16.16.100
    • Click OK để lưu lại.
    [​IMG]
    - Cuối cùng, cấu hình mục Include/Exclude Networks, click Add tab Include Exclude Network xuất hiện và set các thông số sau :
    • Name: All
    • Check Enable
    • Discovery: Include
    • Network Address: 0.0.0.0/0
    • Click OK để lưu lại.
    [​IMG]
    - Sau khi cấu hình xong chúng ta sẽ thấy trong Server Monitoring, status của server mà chúng ta kết nối đã hiện thị Connected.​
    [​IMG]
    3.5 Cấu hình Group Mapping Settings:
    - Vào trang Device > User Identification > Group Mapping Settings > click Add > trong tab Group Mapping set thêm các thông tin trong Server Profile, Group Incude List.
    - Tab Server Profile:
    • Name: TESTLAB
    • Server Profile: chọn lab-active-directory
    • User Domain: testlab.com
    • Object Class (Gourp Object): group
    • Object Class (User Object): person
    • Check Enable
    [​IMG]

    - Tab Group Include List:
    • Trong cây DC=testlab,DC=com click mở rộng danh sách các OU, Group đã được đồng bộ với AD sau đó chọn OU hoặc Group mà mình muốn sử dụng rồi ấn dấu “+” để chuyển qua bảng Include Group. (trong lab sẽ đồng bộ group support nằm trong OU IT).
    • Click OK để lưu lại
    [​IMG]
    3.6 Cấu hình Identification Profile:
    - Vào Device > Authentication Profile > click Add > tab Authentication Profile > cấu hình 2 phần: AuthenticationAdvanced.
    - Tab Authentication:
    • Name : AD TESTLAB
    • Type : LDAP
    • Server Profile : chọn lab-active-directory
    [​IMG]

    - Tab Advanced:
    • Click Add tai Allow List và chọn All
    • Click OK để lưu
    [​IMG]
    3.7 Tạo Security Policy và kiểm tra kết quả:
    - Tạo thêm Security Policy để cho phép truy cập internet dựa trên user đã được đồng bộ. Nếu chưa tạo policy thì Server và Client đang đăng nhập bằng tài khoản Michael đều không thể truy cập được internet.​
    [​IMG]
    [​IMG]

    - Chúng ta cần tạo Security Policy, vào Policies > Security > click Add và set thông tin như sau:
    - Tab General:
    • Name: Allow_Internet_Micheal
    • Rule Type: universal (default)
    [​IMG]

    - Tab Source:
    • Source Zone: chọn LAN.
    [​IMG]

    - Tab User:
    • Source User : chọn 2 tài khoản testlab\administratortestlab\michael.
    [​IMG]

    - Tab Destination:
    • Destination Zone : chọn WAN
    [​IMG]
    - Tab Application chọn Any
    [​IMG]
    - Tab Service/URL Categoty :
    • Service : Any
    • URL Category : Any
    [​IMG]
    - Tab Action :
    • Action : Allow
    • Log Setting : Log at Session End
    • Click OK để lưu
    [​IMG]
    - Lúc này, quay lại Server và PC Client để kiểm tra kết quả.​
    [​IMG]
    [​IMG]
    - Như hình trên hai máy đều đã kết nối được internet.

    ---Cám ơn các bạn đã tham khảo bài viết này---​
     
    hainguyen, 17/12/20
    #1

trang này