De acuerdo

Firewalls USG6600: Uso de Security Groups en la configuración de autorización o autenticación para un gateway VPN SSL

222 0 0 0 0

Requerimiento

Se quiere utilizar security groups para que todo usuario que pertenezca al security group “vpn_limitado” solo pueda acceder a un determinado Gateway VPN.

 

Problema

Aunque en la GUI en la sección Gateway VPN SSL -à Role Authorization aparece la opción de utilizar Security Groups, cuando intentas hacer uso de ello y seleccionas alguno, sencillamente no carga o no lo toma la configuración añ darle "Aceptar".

Esta funcionalidad realmente no está disponible y será desincorporada de la GUI.

 

issue


 

¿Cómo hacemos si queremos hacer uso de Security Groups en lugar de OU’s?

 

A continuación les planteo el siguiente workaround:

 

·       Creamos un authentication domain, en este caso creamos uno de nombre “domaintest.local”

auth_domain


·       Dentro del dominio de autenticación creado, procedemos a marcar la opcion“SSL VPN”. Asimismo, creamos un User Group local que le colocaremos por nombre “vpn_limitado”.


usr_group


domain_ssl


·       Creamos una política de importación para que se importen solo los usuarios y security groups al target domain: domaintest.local -à vpn_limitado.

server_import


·       Si queremos que se importen solo los usuarios que tengan el atributo vpn_limitado, editamos los filtros ldap search que vienen por default, específicamente el definido en el campo user. Colocamos lo siguiente:

 

(&(&(|(objectclass=person)(objectclass=organizationalPerson))(cn=*)(!(objectclass=computer)))(memberOf=CN=usrvpn_limitado,CN=Users,DC=domaintest,DC=local))

El filtro dependerá de la estructura que posea el árbol del directorio activo.


filter_ldap

 

·       Definida la política, procedemos a ejecutar “import now” y notamos que los usuarios y security groups fueron importados al user group “vpn_limitado” creado dentro del dominio domaintest.local.

 

users_imported


·       Ahora, vámonos directamente a la configuración del Gateway VPN, específicamente a la sección Rol Authorization. Nótese que ahora en lugar de usar directamente un security group (funcionalidad no disponible) podemos hacer uso del “user Group vpn_limitado” que contiene los usuarios y security groups que nos interesan. Con ello, solo los usuarios que pertenezcan al user group vpn_limitado pueden conectarse a dicho gateway vpn ssl. Los que no pertenezcan a ese security group no lo podrán hacer.

 

vpn_gateway


role

·       En la sección Mac Authentication podemos hacer lo mismo. Podemos hacer uso del User Group “vpn_limitado” para definir las mac address que deseamos que se puedan conectar.

 

mac_auth

Nota: Verán imágenes de distintas versiones de firmware ya que la parte de SSLVPN no la puedo reproducir en el ENSP porque no está soportado.

 

Espero les sirva de ayuda.


  • x
  • convención:

Comentar

Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse
Responder

Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”

My Followers

¡Ingresa y disfruta de todos los beneficios para los miembros!

Inicia sesión

Bloquear
¿Estás seguro de bloquear a este usuario?
Los usuarios en lista negra no pueden comentar tus publicaciones,no pueden mencionarte,no pueden enviarte mensajes privados.
Recordatorio
Agrega tu número de teléfono para obtener un bono de invitación.