YouTube video player

NETASQ UTM daje możliwość autoryzacji użytkowników w oparciu o certyfikat SSL. Funkcjonalność ta może znaleźć zastosowanie chociażby w sytuacji gdy chcemy udostępnić na zewnątrz zasoby z sieci wewnętrznej np. serwis WWW dla naszych klientów lub dostęp do RDP dla pracowników  a z różnych powodów autoryzacja certyfikatem jest dla nas bardziej odpowiednia niż standardowa autoryzacja za pomocą hasła. Najlepszym miejscem przechowywania certyfikatu jest token kryptograficzny lub karta smartcard.

W artykule opiszę jak zrealizować taki scenariusz z wykorzystaniem tokena eToken PRO firmy SafeNet.

W przedstawionym przykładzie wykorzystamy:

 

Wewnętrzny LDAP

Powołujemy wewnętrzną bazę LDAP:

 

Wewnętrzne PKI

Powołujemy urząd certyfikacji CA:

 

Użytkownicy

Tworzymy użytkownika (użytkowników) którzy będą autoryzowania za pomocą certyfikatu w Portalu autoryzacji. Oraz dla każdego użytkownika generujemy certyfikat PKI (zakładka CERTYFIKAT/Wygeneruj certyfikat).

Tworzymy grupę użytkowników i dodajemy do niej utworzonych użytkowników:

 

Konfiguracja Portalu autoryzacji

Dodajemy SSL jako dostępną metodę autoryzacji:

Dla metody SSL wskazujemy urząd certyfikacji (CA) który może wystawiać certyfikaty dla metody:

Określamy metodę uwierzytelnienia SSL dla grupy na interfejsie zewnętrznym:

Włączamy portal autoryzacji na interfejsie zewnętrznym:

 

SSL VPN

Włączamy funkcjonalność serwera SSL VPN. Ponieważ w przykładzie zakładamy wykorzystanie jedynie połączenia na zdalny pulpi (RDP) jako typ serwera wybieramy Serwer aplikacyjny:

Konfigurujemy parametry dla serwera SSL VPN:

Ponieważ w przyszłości możemy potrzebować różnych konfiguracji dla różnych użytkowników definiujemy profil SSL VPN:

 

Polityki dostępu

Domyślnie polityki dostępu zabraniają dostępu zdalnego:

Zezwalamy na nawiązywanie połączeń SSL VPN dla zdefiniowanej grupy użytkowników:

 

Firewall

W konfiguracji zapory sieciowej musimy dodać regułę zezwalającą na połączenia HTTPS do interfejsu zewnętrznego NETASQ-a:

 

Pobieranie certyfikatów

Wygenerowane certyfikaty użytkowników należy wyeksportować do plików w formacie kontenera P12:

Przy eksporcie certyfikatu podajemy hasło chroniące dostęp do kontenera P12. Hasło to będziemy musieli podać przy imporcie certyfikatu na token.

 

SafeNet Authentication Client

SAC to oprogramowanie do zarządzania tokenem, jego zawartością jak i dostarczające składniki do obsługi tokena przez aplikacje. Po zainstalowaniu SAC w pasku zadań wskazujemy ikonę aplikacji i prawym klawiszem myszy rozwijamy menu. Wybieramy pozycję Narzędzia:

Ukazuje nam się główne okno aplikacji:

Podłączamy token eToken do portu USB komputera. Poz zainstalowaniu sterowników USB dla tokena otrzymujemy informację o konieczności zmiany domyślnego hasła (hasło domyślne to 1234567890):

Klikamy Anuluj i przechodzimy do Widoku zaawansowanego:

Ustalamy polityki bezpieczeństwa hasłem oraz pozostałe opcje klienta. Podane poniżej ustawienia należy traktować jednie jako przykład ustawień:

 

Inicjujemy token z nowymi parametrami:

Możemy ustanowić indywidualną nazwę dla tokena. Nadajemy hasło (np. pin) dla użytkownika oraz hasło administracyjne (będziemy mogli np. odblokować token jeżeli użytkownik przekroczy dopuszczalną liczbę błędnych logowań do tokena). Wybieramy polecenie Rozpocznij:

Importujemy zapisany w kontenerze P12 certyfikat użytkownika:

Jeżeli po wybraniu opcji Importu certyfikatu dostajemy monit o hasło do tokena, podajemy ustawiony przy inicjacji PIN użytkownika a następnie wskazujemy plik z certyfikatem:

Po wybraniu pliku kontenera otrzymujemy monit o hasło chroniące zawartość kontenera (ustaliliśmy to hasło w momencie zapisywania certyfikatu do pliku P12 w PKI NETASQ-a):

Po chwili certyfikaty zostaną umieszczony na tokenie (klucz prywatny użytkownika, klucz publiczny użytkownika, klucz publiczny CA):

 

Demonstracja działania konfiguracji