Authentication Policy Konfigurationsbeispiel ZyXEL ZyWALL USG-Serie Juni 2010 / HAL
LOKALE USER DATENBANK Über Authentication Policy verknüpft man ZyWALL-Dienste und Benutzer so, dass die Nutzung der Dienste von der Benutzeranmledung abhängig wird. In den Benutzer-Objekten werden Benutzer angezeigt und erfasst: Configuration > Object > User/Group Add und Benutzername und Passwort erstellt ein neues Benutzerprofil: Der neue Benutzer wird umgehend in der Liste aufgeführt. 2 Authentication Policy
SETTINGS AUTHENTICATION POLICY Object > User/Group > Setting definiert die Standard-Einstellungen der Benutzer. Damit sich ein Benutzer nicht mehrmals über das USG-Login authentifizieren kann, wird die gleichzeitige Anzahl Anmeldungen auf Eins limitiert. Configuration > Auth. Policy Authentication Policy einschalten und eine Policy Regel einfügen 3 Authentication Policy
So sieht eine User Policy aus, bei der die Authentifizierung aus dem LAN1 erzwungen wird. 4 Authentication Policy
EINLOGGEN UND STATUSINFORMATIONEN Die Konfiguration der USG ist abgeschlossen. Der Benutzer in der LAN Zone muss sich fortan beim ersten Webzugriff authentifizieren. Das USG-Login-Fenster öffnet sich beim Gebrauch des Browsers automatisch. Geben Sie Ihre konfigurierten Anmeldeinformationen ein. Dieses Fenster erscheint nur, wenn der Standard Gateway des Clients mit der USG identisch ist. Nach erfolgter Anmeldung werden Sie informiert, wie viel Zeit bis zur erneuten Authentifizierung übrig verbleibt. Dieses Fenster wird nur angezeigt, wenn kein Popup-Blocker aktiv ist. Beachten Sie entsprechende Warnungen Ihres Browsers 5 Authentication Policy
Die aktuell eingeloggten Benutzer können im DASHBOARD > System Status > Number of Login Users abgefragt werden. 6 Authentication Policy
USER AWARENESS ÜBER ACTIVE DIRECTORY (AD) Das Konfigurations-Beispiel nutzt folgende Active Directory-Struktur: dc=statglab,dc=local Der Benutzer Administrator und die USG100 gehören zu den CN Users. 1. Neue Organisationseinheit Schulung einfügen. 2. Neue Gruppe Technik für die OU Schulung einfügen. 3. Neue Benutzer usg einfügen. 4. E-Mail usg@staglab.local an der Benutzer usg zuweisen. 5. Benutzer usg ist Mitglied von Grupp Technik. 7 Authentication Policy
Configuration > Object > AAA Server konfiguriert die AD-Anbindung. Geben Sie als Host die IP-Adresse des AD-Servers an. Unter Base DN wird der Pfad DC=staglab, DC=local angegeben. Beim Starten sucht die ZyWALL nach diesem Benutzer. Unter Bind DN wird in unserem Fall der Benutzer administrator eingesetzt. Es kann auch ein anderer Benutzer mit Administratorrechten verwendet werden. Der Pfad in unserem Beispiel lautet CN=administrator, CN=Users, DC=staglab, DC=local. Beim Passwort geben Sie aktuellen Benutzers an. Mit Alternative Login Name Attribute userprincipalname haben Sie die Möglichkeit, sich über die Emailadresse anstatt dem Benutzer-Namen einzuloggen. Über Configuration Validation, testet der Benutzer usg100 die AD-Anbindung zwischen der USG und dem AD-Server. 8 Authentication Policy
AD-Anbindung für den Benutzer usg100 ist erfolgreich abgeschlossen. Unter Configuration > Object > Authentication Method ist per Default nur local (die lokale Datenbank) aufgeführt. Damit die ZyWALL Authentifizierungs-Versuche, welche vom Benutzer nicht lokal definiert sind, an den AD-Server weiterleitet, muss die AD-Gruppe group ad hinzugefügt werden. Editieren Sie dazu die Standard-Gruppe default. 9 Authentication Policy
Fügen Sie über Add eine neue Zeile hinzu und wählen Sie group ad. Loggen Sie sich mit Ihren Benutzerdaten usg100 der AD-Konfiguration ein. 10 Authentication Policy
Configuration > Object > User Fügen Sie über Add einen neuen Benutzer Beliebigen Namen für die Group Benutzer eintragen. Für den User Type: ext-group-user auswählen. Als Group Identifier: das Feld CN=Technik, OU=Schulung, DC=staglab, DC=local einfügen. Object ad als Associated AAA Server Object: auswählen. AD-Anbindung für Benutzer usg testen. 11 Authentication Policy
Die AD-Anbindung für der Benutzer usg ist erfolgreich. Jetzt können sie entweder mit dem Benutzer Name usg oder als Alternative mit der Emailadresse usg@staglab.local auf der USG einloggen. 12 Authentication Policy
KONFIGURATION END POINT SECURITY (EPS) End Point bezieht sich auf Endgeräte wie PCs, Laptops, usw. End Point Security ist ein Security- Konzept und geht davon aus, dass jeder Endpunkt für seine eigene Sicherheit verantwortlich ist. Das Endpunkt-Gerät wird von der USG bezüglich seiner Sicherheitsdefinition mit der Policy geprüft. Configuration > Object > End Point Security Fügen Sie über Add einen neuen EPS hinzu. 1. Neue Regel mit Schulung benennen. 2. Alles Items werden sorgfältig geprüft 3. Betriebssystem Windows XP auswählen Erweiterte Einstellungen ansehen 4 1 2 3 13 Authentication Policy
Geprüft wird auch (mit dem Betriebsystem) die Datei boot.ini im root c:\ vom Klient PC. Configuration > Auth. Policy Bestehende Policy editieren 1. EPS aktivieren 2. Online Prüfung Zeit auf z.b. 60 Minuten konfigurieren 3. Objekt Schulung selektieren 1 2 3 14 Authentication Policy
Nach einem Login wird die EPS via Java auf dem PC geprüft. Wenn die EPS Prüfung scheitert (Betriebssystem ist falsch oder die Datei wird nicht gefunden) Monitor > Log kann der Administrator über die Log Eintrag (Display: EPS) den Grund ansehen. 15 Authentication Policy