Integração de fornecedor de segurança

Transcrição

Virtualize Your People
Índice
Introdução
2
Visão geral da configuração
2
Usuários LDAP
3
Grupos LDAP
4
RADIUS
5
Kerberos
6
Grupamentos
7
Detalhes de configuração
8
Configurações gerais
8
Configurações LDAP
9
Configurações RADIUS
17
Configurações Kerberos
18
Configurações de grupo
18
Priorização de provedores de segurança
19
Resolução de problemas
20
BOMGAR | +01.601.519.0123 | www.bomgar.com
1
Introdução
Este guia lhe ajudará a configurar o Bomgar Box™ para se comunicar com um provedor de
segurança de forma a autenticar usuários contra armazenamentos de diretório externo.
Para definir políticas de grupo com base em grupos dentro de um servidor remoto, você deve
primeiro configurar um provedor de usuário e um provedor de grupo em separado, e depois
habilitar a pesquisa de grupo a partir da página de configuração do provedor do usuário. Um
provedor de segurança do grupo pode ser usado para autorizar usuários de múltiplos servidores,
incluindo LDAP, RADIUS e Kerberos.
Caso precise de assistência, entre em contato conosco pelo número +01.601.519.0123 x2 ou
[email protected].
Visão geral da configuração
1.
A partir de sua interface administrativa de /login, vá à
página Provedores de segurança sob a guia Usuários e
Segurança, e clique no botão Configurar novo provedor.
2.
Insira um nome amigável para esta configuração de
grupo ou de provedor de segurança. Quando múltiplos
provedores de segurança estiverem configurados, este
nome será usado para distinguir este provedor de outros.
Pode também ser necessário para autenticação de um
agente de conexão.
3.
Selecione o tipo de servidor e, em seguida, escolha
autenticar usuários ou pesquisar autorização de grupo
deste servidor.
Selecionar Usuários indica que os usuários individuais
no armazenamento de diretório externo podem usar
credenciais existentes para autenticar ao Bomgar.
Selecionar Grupos indica que as associações de grupo
dos usuários podem ser pesquisadas neste provedor de
segurança.
Para agrupar dois ou mais provedores de serviço para
failover ou equilíbrio de carga, selecione Grupo como o
tipo de servidor e depois selecione Usuários ou Grupos
para definir o tipo de provedores de segurança a agrupar.
4.
Você pode selecionar uma configuração específica de servidor para preencher
automaticamente alguns campos com dados padrão na próxima página; esta informação deve
ser modificada para corresponder à sua configuração específica.
Como alternativa, se estiver configurando um grupo, selecione o modo de operação. Veja a
seção de grupo para obter detalhes.
5.
Clique no botão Adicionar provedor para passar para a próxima página e configure a
conexão entre seu Bomgar Box e seu provedor de segurança.
2
Usuários LDAP
A
C
A
Nome
p8
B
Tipo de serviço
p8
C
Tipo de servidor
p8
D
Manter o nome de exibição
sincronizado com o sistema
remoto
p8
E
Endereço do host do servidor
LDAP
p9
H
F
Porta do servidor LDAP
p9
J
G
Modo de segurança
p9
L
H
Chave pública CA
p9
I
Usar vinculação anônima
p9
J
Vincular nome de usuário
p9
K
Vincular senha
p10
L
Base de pesquisa
p10
M
O aplicativo pode se
comunicar diretamente com
este servidor
p10
N
Senha do agente de conexão
p10
O
Consulta do usuário
p10
P
Classes de objeto do usuário
p11
Q
ID exclusiva do objeto do
usuário
p11
R
Nome de exibição do objeto
do usuário
p12
S
Exibir consulta
p12
T
Política padrão
p8
B
D
E
G
I
F
K
M
N
O
P
Q
R
S
T
3
Grupos LDAP
A
C
E
G
I
K
M
B
D
F
H
J
L
N
O
P
Q
R
S
T
U
V
W
A
Nome
p8
B
Tipo de serviço
p8
C
Tipo de servidor
p8
D
Usar configuração de
p9
E
Endereço do host do servidor LDAP
p9
F
Porta do servidor LDAP
p9
G
Modo de segurança
p9
H
Chave pública CA
p9
I
Usar vinculação anônima
p9
J
Vincular nome de usuário
p9
K
Vincular senha
p10
L
Base de pesquisa do usuário
p10
M
O aplicativo pode se comunicar
diretamente com este servidor
p10
N
Senha do agente de conexão
p10
O
Consulta do usuário
p10
P
Classes de objeto do usuário
p11
Q
ID exclusiva do objeto do usuário
p11
R
Nome de exibição do objeto do
usuário/grupo
p12
S
Exibir consulta
p12
T
Base de pesquisa do grupo
p13
U
Classes de objetos de grupo válidas
p13
V
ID exclusiva de objeto de grupo
p13
W
Relacionamento de usuário para grupo
p14
X
Executar uma pesquisa recursiva para
grupos
p15
X
4
RADIUS
A
C
B
D
E
F
G
H
I
J
A
Nome
p8
B
Tipo de serviço
p8
C
Tipo de servidor
p8
D
Manter o nome de exibição sincronizado com o sistema remoto
p8
E
Endereço do host RADIUS
p17
F
Porta de autenticação RADIUS
p17
G
Segredo compartilhado RADIUS
p17
H
Tempo limite esgotado (segundos)
p17
I
Permitir somente os seguintes usuários
p17
J
Política padrão
p8
5
Kerberos
A
C
B
D
E
F
G
A
Nome
p8
B
Tipo de serviço
p8
C
Tipo de servidor
p8
D
Manter o nome de exibição sincronizado com o sistema
remoto
p8
E
Modo de administração do usuário
p18
F
Modo de administração de SPN
p18
G
Política padrão
p8
6
Grupamentos
A
B
C
D
E
F
G
A
Nome
p8
B
Tipo de serviço
p8
C
Tipo de servidor
p8
D
Manter o nome de exibição sincronizado com o sistema
remoto
p8
E
Modo de operação
p18
F
Membros do grupo
p18
G
Política padrão
p8
7
Detalhes de configuração
Configurações gerais
Nome [Todos]
Nome amigável atribuído a esta configuração.
Tipo de serviço [Todos]
O tipo de serviço que você selecionou na página anterior.
Tipo de servidor [Todos]
O tipo de servidor para o qual está configurando esta conexão.
Manter nome de exibição sincronizado com sistema remoto
[Usuários LDAP , RADIUS, Kerberos, Grupo de Usuários]
Se selecionado, o nome de exibição de um usuário autenticando neste provedor irá sempre
corresponder ao nome de exibição extraído do armazenamento de diretório. Se a seleção for desfeita,
os nomes de exibição podem ser editados localmente no Bomgar Box.
Política padrão [Usuários LDAP, RADIUS, Kerberos, Grupo de Usuários]
Cada usuário que autentica em um provedor de segurança deve ser um membro de pelo menos uma
política de grupo para fazer o login no Bomgar. Você pode selecionar uma política de grupo padrão a
aplicar a todos os usuários neste servidor.
Note que se uma política padrão for definida, qualquer usuário que autenticar neste servidor
potencialmente terá acesso ao nível desta política padrão. Portanto, defina o padrão a uma política
com o mínimo de privilégios para evitar que usuários ganhem permissões que eles não deveriam ter.
Se um usuário estiver em uma política de grupo padrão e depois for explicitamente adicionado a outra
política de grupo, as configurações para a política explicitamente adicionada terão sempre prioridade
sobre as configurações do padrão, mesmo se a política explícita tiver uma prioridade mais baixa
do que o padrão, e mesmo se as configurações da política padrão sejam definidas para proibir a
sobreposição.
OBSERVAÇÃO: Se você optar por permitir todos os usuários em um servidor RADIUS, será
necessário designar uma política padrão. Se nenhuma política padrão for definida, você deverá atribuir
usuários RADIUS permitidos individualmente às políticas de grupo.
8
Configurações LDAP
Usar configuração de [Grupos LDAP]
Defina as configurações do provedor de grupo LDAP ou copie as configurações de um provedor de
usuário LDAP definido anteriormente.
Endereço de host do servidor LDAP [Usuários LDAP, Grupos LDAP]
Nome do host ou IP do servidor LDAP.
OBSERVAÇÃO: Se você for utilizar LDAP com TLS ou LDAPS, o nome do host deve corresponder
ao nome do host usado em Subject Name (Nome do servidor) de seu certificado SSL público
do servidor LDAP ou o componente DNS de seu Alternate Subject name (Nome do servidor
alternativo).
Porta do servidor LDAP [Usuários LDAP, Grupos LDAP]
Porta do servidor LDAP. Geralmente, porta 389 para LDAP ou 636 para LDAPS. A Bomgar também
aceita o catálogo global sobre a porta 3268 para LDAP ou 3269 para LDAPS.
Modo de segurança [Usuários LDAP, Grupos LDAP]
Tipo de criptografia para usar quando se comunicar com o servidor LDAP. Se selecionar Usar
LDAPS ou Usar LDAP com TLS, você deve carregar o certificado SSL público do servidor LDAP no
campo Chave pública CA.
OBSERVAÇÃO: Por motivos de segurança, LDAP com TLS ou LDAPS é recomendado (Windows
2000 não oferece suporte a LDAPS).
Chave pública CA [Usuários LDAP, Grupos LDAP]
Carregue sua Chave pública de autoridade certificadora no formato PEM para criptografar esta
conexão, assegurando a validade do servidor e a segurança dos dados.
OBSERVAÇÃO: Se o Subject name do certificado SSL público do servidor LDAP ou o componente
DNS de seu Alternate Subject Name não corresponder ao valor no campo Endereço do host do
servidor LDAP, o provedor será tratado como inalcançável. Você pode, porém, usar um certificado
curinga para certificar múltiplos subdomínios do mesmo site. Por exemplo, um certificado para
*.example.com certificaria support.example.com e remote.example.com.
Usar vinculação anônima [Usuários LDAP, Grupos LDAP]
Se o seu servidor oferecer suporte a vinculações anônimas, você pode continuar sem especificar
um nome de usuário ou senha.
OBSERVAÇÃO: A vinculação anônima é considerada insegura e está desabilitada por predefinição
na maioria dos provedores LDAP.
Vincular nome de usuário [Usuários LDAP, Grupos LDAP]
O nome de usuário com o qual seu Bomgar Box pode se vincular e pesquisar o armazenamento
de diretório LDAP. Esta conta deve ter permissão para ler os atributos que você irá especificar em
Consulta do usuário para todos os usuários que você deseja autenticar no servidor LDAP. Não
é recomendável usar uma conta de administração; uma conta de usuário comum é geralmente
suficiente e é mais segura.
OBSERVAÇÃO: Por predefinição, o Active Directory requer um nome de usuário e senha
vinculados, com permissão para ler outras associações de grupo de usuários. Se você estiver
usando o Active Directory e não tiver ainda uma conta de vinculação determinada, crie uma conta
de usuário com privilégio de leitura para usar com o Bomgar Box. Veja a seção Active Directory
abaixo para ver como conceder este privilégio.
9
Vincular senha [Usuários LDAP, Grupos LDAP]
A senha a ser usada com o nome de usuário de vinculação inserido acima.
Base de pesquisa do usuário [Usuários LDAP, Grupos LDAP]
Nível em sua hierarquia de diretórios, especificado por um nome distinto, para começar a procurar
usuários. Você pode melhorar o desempenho ao designar a unidade organizacional específica
dentro de sua loja de diretórios que requer acesso. Se não estiver certo, ou se os usuários se
estendem por múltiplas unidades de organização, é recomendável especificar o nome distinto da
raiz de seu armazenamento de diretório.
Exemplo
Explicação
dc=example,dc=local
Pesquisa toda a estrutura do diretório.
ou=users,dc=example,dc=local
Procura somente a unidade de organização de users dentro da hierarquia de
diretório, ignorando outras unidades de organização.
ou=Atlanta,dc=example,dc=local
Pesquisa usuários e grupos com Atlanta como local.
O aplicativo pode se comunicar diretamente com este servidor [Usuários LDAP,
Grupos LDAP]
Selecione esta opção se o seu servidor LDAP e Bomgar Box estiverem na mesma LAN e puderem
se comunicar diretamente. Se o seu servidor LDAP e Bomgar Box estiverem em redes diferentes ou
separados por um firewall, deixe esta opção desmarcada, pois você precisa instalar um agente de
conexão para habilitar a comunicação.
Senha do agente de conexão [Usuários LDAP, Grupos LDAP]
Se o seu Bomgar Box e o servidor LDAP não puderem se comunicar diretamente, crie uma Senha
do agente de conexão para usar quando instalar o agente de conexão.
Consulta do usuário [Usuários LDAP, Grupos LDAP]
A consulta a usar para localizar um usuário LDAP quando o usuário tentar fazer o login. Aceita uma
consulta LDAP padrão (RFC 2254 – Representação de seqüência dos filtros de pesquisa LDAP).
Para especificar o valor dentro da seqüência que deve agir como o nome de usuário, substitua o
valor por %s.
Exemplo
Explicação
(&(sAMAccountName=%s)(|(
objectClass=user)(objectClass=
person)))
Quando jsmith faz o login, procura no servidor LDAP por um objeto onde
sAMAccountName equivale a jsmith.
(&(|(sAMAccountName=%s)(
specialVendorAttribute=%s))(|(
objectClass=person)(
objectClass=user)))
Procura um objeto onde sAMAccountName ou specialVendorAttribute
contém jsmith e possui um objectClass que seja person ou user.
10
Classes de objeto do usuário [Usuários LDAP, Grupos LDAP]
Especifique objectClasses válidos para usuários dentro de seu armazenamento de diretório.
Somente usuários que possuem um ou mais desses objectClasses serão permitidos autenticar.
Você pode inserir múltiplos objectClasses, um por linha.
Exemplo
Explicação
user
Os usuários devem ter um objectClass que seja user.
user
person
Os usuários devem ter um objectClass que seja user ou person.
ID exclusiva do objeto do usuário [Usuários LDAP, Grupos LDAP]
O identificador exclusivo para o objeto. A maioria dos servidores LDAPs incorpora algum campo que
é único por objeto e não se altera pela duração do usuário.
OBSERVAÇÃO: Enquanto distinguishedName possa servir como esta ID, se um nome distinto
de usuário se alterar, aquele usuário será visto como um novo usuário e qualquer alteração feita
à conta Bomgar individual não será transferida ao novo usuário. Se o seu servidor LDAP não
incorporar um identificador único, use um campo que seja pelo menos provável de ter uma entrada
idêntica para o outro usuário.
A sintaxe deste campo é na forma de [object]:[attribute].
[object]
O objectClass de usuário na forma de um descritor ou curinga *, indicando todas as classes de
usuário válidas.
[attribute]
O atributo que contém a ID de usuário única na forma de um descritor ou o valor especial ?,
indicando o nome distinto do objeto do usuário.
Exemplo
Explicação
*:objectGUID
Todas as classes possuem um atributo objectGUID que é um identificador exclusivo.
user:userGUID
person:personGUID
Um objeto do usuário possui um atributo userGUID, um objeto de pessoa possui um atributo
personGUID e ambos são únicos.
user:userGUID
*:objectGUID
A objeto do usuário possui um atributo userGUID que deveria ser usado, mas todas as outras
classes possuem um atributo objectGUID.
user:?
person:objectGUID
Um usuário não possui um identificador único que não seja seu distinguishedName, mas a classe
da pessoa possui um atributo objectGUID.
Você pode fazer combinações de definições, com uma definição por linha. Porém, somente uma
definição *:[attribute] é aceita. Se diversas definições de caracteres curingas forem inseridas,
somente a última será usada.
11
Nome de exibição do objeto do usuário/grupo [Usuários LDAP, Grupos LDAP]
Determina que campo deve ser usado como nome de exibição. A sintaxe deste campo é na forma
de [object]:[attribute].
[object]
O objectClass de usuário ou grupo na forma de um descritor ou curinga *, indicando todas as classes
de usuário ou grupo válidas.
[attribute]
O atributo que contém o nome de exibição desejado, na forma de um descritor ou o valor especial ?
ou !. Use ? para especificar o distinguishedName totalmente qualificado ou ! para especificar o valor
do elemento extrema esquerda do distinguishedName.
Exemplo
Explicação
*:displayName
Todas as classes possuem um atributo displayName.
user:!
Um objeto do usuário deve utilizar o elemento na extrema esquerda de seu distinguishedName.
user:displayName
person:fullName
Um objeto do usuário possui um atributo displayName e um objeto da pessoa possui um atributo
fullName.
*:!
Para todas as classes, o elemento na extrema esquerda do distinguishedName deve ser usado.
user:displayName
*:!
Um usuário possui um atributo displayName que deve ser usado, mas todas as outras classes
devem usar o valor do elemento extrema esquerda do distinguishedName.
user:?
*:!
Um objeto do usuário deve usar o distinguishedName completo, mas todas as outras classes devem
usar o valor do elemento extrema esquerda do distinguishedName.
Exibir consulta [Usuários LDAP, Grupos LDAP]
Afeta como os resultados são exibidos quando adicionar usuários a políticas de grupos.
Exemplo
Explicação
(objectClass=*)
Padrão. Exibe todos os objetos retornados de uma consulta.
(|(objectClass=user)(objectClass=
organizationalUnit))
Exibe todas as classes de objeto de user ou organizationUnit, filtrando
quaisquer outros objetos.
12
Base de pesquisa do grupo [Grupos LDAP]
Nível em sua hierarquia de diretórios, especificado por um nome distinto, para começar a procurar
grupos. Você pode melhorar o desempenho ao designar a unidade organizacional específica dentro
de sua loja de diretórios que requer acesso. Se não estiver certo, ou se os grupos se estendem
por múltiplas unidades de organização, é recomendável especificar o nome distinto da raiz de seu
armazenamento de diretório.
Exemplo
Explicação
dc=example,dc=local
Pesquisa toda a estrutura do diretório.
ou=groups,dc=example,dc=local
Procura somente a unidade de organização de groups dentro da hierarquia
de diretório, ignorando outras unidades de organização.
ou=Atlanta,dc=example,dc=local
Pesquisa usuários e grupos com Atlanta como local.
Classes de objetos de grupo válidas [Grupos LDAP]
Especifique objectClasses válidos para grupos dentro de seu armazenamento de diretório. Somente
grupos que possuem um ou mais destes objectClasses serão retornados. Você pode inserir
múltiplos objectClasses de grupo, um por linha.
Exemplo
Explicação
group
Os grupos devem ter um objectClass de group.
group
groupOfUniqueNames
Os grupos devem ter um objectClass de group ou groupOfUniqueNames.
ID exclusiva de objeto de grupo [Grupos LDAP]
O identificador exclusivo para o objeto. A maioria dos servidores LDAPs incorpora algum campo que
é único por objeto e não se altera pela duração do grupo.
OBSERVAÇÃO: Enquanto distinguishedName possa servir como esta ID, se um nome distinto de
grupo se alterar, aquele grupo será visto como um novo grupo e qualquer política de grupo definida
para aquele grupo não será transferida para o novo grupo. Se o seu servidor LDAP não incorporar
um identificador único, use um campo com menos probabilidade de ter uma entrada idêntica para
outro grupo.
A sintaxe deste campo é na forma de [object]:[attribute].
[object]
A objectClass do grupo na forma de um descritor ou curinga *, indicando todas as classes de grupo
válidas.
[attribute]
O atributo que contém a ID de grupo única na forma de um descritor ou o valor especial ?, indicando o
distinguishedName do objeto do grupo.
13
Exemplo
Explicação
*:objectGUID
Todas as classes possuem um atributo objectGUID que é um identificador exclusivo.
group:groupGUID
*:objectGUID
Um objeto do grupo possui um atributo groupGUID que deveria ser usado, mas todas as outras
group:?
*:objectGUID
Um grupo não possui um identificador único que não seja seu distinguishedName, mas todas as outras
Você pode fazer combinações de definições específicas, com uma definição por linha. Porém,
somente uma definição *:[attribute] é aceita. Se diversas definições de caracteres coringas
forem inseridas, somente a última será usada.
Relacionamento de usuário para grupo [Grupos LDAP]
A consulta para determinar quais usuários pertencem a quais grupos ou, inversamente, quais grupos
contém quais usuários. A sintaxe para este campo fica da seguinte forma:
[user_object]:[user_attribute]=[group_object]:[group_attribute]
[user_object]
A objectClass do usuário na forma de um descritor ou curinga *, indicando todas as classes de
usuário válidas.
[user_attribute]
O atributo que contém a ID de usuário única na forma de um objectClass válido ou o valor especial
?, indicando o distinguishedName daquele objeto do usuário.
[group_object]
A objectClass do grupo na forma de uma objectClass ou curinga * válido indicando todas as classes
de grupo.
[group_attribute]
O atributo que contém a ID de grupo única na forma de um objectClass válido ou o valor especial ?,
indicando o distinguishedName daquele objeto do grupo.
Há várias maneiras que um relacionamento de usuário/grupo pode ser armazenado em um
armazenamento LDAP. Uma maneira é armazenar os grupos aos quais pertence um membro
como propriedade do usuário, geralmente em um atributo memberOf (membro de), que pode ter
múltiplos valores, cada valor sendo o nome distinto de um grupo ao qual o usuário pertence.
Exemplo
Explicação
*:memberOf=*:?
Todos os usuários válidos possuem um atributo memberOf que armazena o distinguishedName
de todos os grupos válidos aos quais aquele usuário pertence.
Outra maneira é armazenar quais usuários pertencem a um grupo como propriedade do
grupo, geralmente no atributo member, que pode ter múltiplos valores, cada valor sendo o
distinguishedName de um usuário que pertence a este grupo.
14
Exemplo
Explicação
*:?=*:member
Todos os grupos válidos possuem um atributo de membro que armazena o distinguishedName
de todos os usuários válidos que pertencem a aquele grupo.
Por fim, alguns servidores otimizaram o processo ao incluir um atributo especial ao usuário, listando todos os grupos
aos quais o usuário pertence, todos os grupos aos quais aqueles grupos pertencem e assim por diante, todos em um
campo. Os valores podem ser distinguishedNames ou um atributo especial.
Exemplo
Explicação
*:tokenGroups=*:objectSID
Todos os usuários válidos possuem um atributo tokenGroups que armazena a propriedade
objectSID de todos os grupos válidos aos quais aquele usuário pertence e aos quais aqueles
grupos, por sua vez, pertencem.
Executar uma pesquisa recursiva para grupos [Grupos LDAP]
A pesquisa de grupos de modo recorrente executa uma consulta para um usuário, depois consulta todos os grupos
aos quais aquele usuário pertence, depois consulta todos os grupos aos quais aqueles grupos pertencem, e assim
por diante, até que todos os grupos possíveis associados a aquele usuário tenham sido encontrados.
A pesquisa recorrente pode ter um impacto significativo no desempenho, à medida que o servidor continuar a emitir
consultas, até encontrar informações sobre todos os grupos. Se levar muito tempo, o usuário pode não conseguir
fazer o login.
Uma pesquisa não recorrente emite somente uma consulta por usuário. A pesquisa recorrente é desnecessária se
seu servidor LDAP tiver um campo especial contendo todos os grupos aos quais pertence o usuário ou se o projeto
de seu diretório não lidar com membros de grupo dos grupos.
Exemplo
Explicação
*:?=*:member
(com pesquisa recorrente
ativada)
O LDAP pesquisa grupos dos quais o usuário é membro. Ele então pesquisa todos os grupos que
contêm membros pelos distinguishedNames dos grupos retornados anteriormente. Este processo se
repetirá até que novos resultados sejam encontrados.
Agente de conexão
Se estiver usando um servidor LDAP na mesma LAN de seu Bomgar Box, os dois sistemas podem conseguir se
comunicar diretamente. Se eles não puderem se comunicar diretamente, o agente de conexão Win32 habilita seu
servidor LDAP e seu Bomgar Box a se comunicar via uma conexão de saída com SSL criptografado, sem qualquer
configuração de firewall. O agente de conexão pode ser baixado no servidor LDAP ou um servidor em separado na
rede (recomendável).
Clique em Descarregar agente de conexão na página de edição do provedor de segurança. Execute o assistente de
instalação e siga as etapas para instalar o agente de conexão.
OBSERVAÇÃO: Por predefinição, o agente de conexão utiliza LDAPS. A Bomgar recomenda com veemência que
isto não seja alterado. Porém, se sua configuração de rede requisitar que o agente utilize uma conexão LDAP
não segura, você pode procurar no diretório especificado acima e abrir o arquivo bomgar.ini. No final do arquivo,
acrescente a linha ldap_agent_nonsecure=1. Salve e feche o arquivo. Para ativar a alteração, abra o console de
gerenciamento de serviços digitando Services.msc na caixa de diálogo Run (Executar). Selecione e reinicie o
serviço do agente de conexão da Bomgar.
15
Active Directory – Windows 2000/2003 específico
A configuração ótima do Active Directory é a seqüência de pesquisa de grupo *:tokenGroups=*:objectSID,
com pesquisa recorrente desabilitada. Isso executa uma consulta única para encontrar associação de grupo
de um usuário. Infelizmente, isso pode não funcionar em vários domínios devido às permissões nos atributos
tokenGroups e memberOf. Para ler estes atributos, o usuário autorizado deve receber permissão explícita
para ler tokenGroups ou memberOf para outros objetos no diretório.
OBSERVAÇÃO: Embora uma conta Domain Admin possua esta permissão de leitura por predefinição, usar tal
conta é altamente desencorajado. Enquanto a Bomgar cumpre cada medida para proteger a segurança de suas
informações, pode ainda haver riscos de segurança por ter estas credenciais freqüentemente transmitidas.
A configuração recomendada é para criar uma conta específica para o Bomgar Box de forma a ser usada para
fazer pesquisas no servidor do Active Directory. Quando esta conta for criada, conceda especificamente o
conjunto limitado de permissões necessárias para esta conta, de forma a permitir que os usuários façam o login
através da Bomgar Box sem comprometer a segurança de sua organização.
Se você não puder conceder essas permissões, pode ainda permitir aos usuários fazer o login no Bomgar
Box com permissões específicas com base nos grupos deles. Insira uma consulta de usuário a grupo:
*:?=group:member, com pesquisa recorrente ativada.
Para conceder explicitamente a permissão para ler um atributo em particular a um usuário ou grupo específico,
a Active Directory ACL deve ser modificada. O comando a seguir deve ser executado por um usuário que possui
permissões de modificação de esquema:
dsacls [distinguishedName of domain] /I:T /G “User or Group”:rp;tokenGroups
dsacls
Ferramenta para modificar a Active Directory ACL.
[distinguishedName of domain]
O distinguishedName do objeto do domínio para começar a modificar a permissão.
/I:T
Especifique que a ACL se aplica a este objeto e todos os sub-objetos.
/G
Indica que é uma permissão de concessão.
“Usuário ou Grupo”
O usuário ou grupo no domínio ao qual conceder permissão.
rp
Indica que a permissão é especial para leitura de uma propriedade.
tokenGroups
A propriedade à qual é concedida a permissão de leitura.
Exemplo: dsacls “DC=example,DC=local” /I:T /G “BomgarBox”:rp;tokenGroups
Isso concede à conta BomgarBox permissão para ler a propriedade tokenGroups em qualquer objeto no
domínio DC=example,DC=local.
Para mais documentação a respeito da ferramenta DSACLs, consulte http://support.microsoft.com/kb/281146.
16
Configurações RADIUS
Endereço do host RADIUS [RADIUS]
Nome do host ou IP do servidor RADIUS.
Porta de autenticação RADIUS [RADIUS]
Porta do servidor RADIUS. Geralmente porta 1812.
Segredo compartilhado RADIUS [RADIUS]
Crie um novo segredo compartilhado para que o RADIUS e seu Bomgar Box possam se comunicar.
Tempo limite esgotado (segundos) [RADIUS]
Duração de tempo a esperar pela resposta de um servidor. Note que se a resposta for ResponseAccept (Aceitar resposta) ou Response Challenge (Desafio de resposta), o RADIUS irá esperar
todo esse tempo antes de autenticar a conta. Portanto, mantenha este valor o mais baixo possível.
Um valor ideal é de 3 a 5 segundos, com o valor máximo de 10 segundos.
Permitir somente os seguintes usuários [RADIUS]
Escolha a opção de permitir o acesso somente aos usuários especificados ou deixe este campo em
branco para permitir todos os usuários que autenticarem contra seu servidor RADIUS. Se permitir
todos, você deve também especificar uma política de grupo padrão.
Windows 2000/2003 específico para IAS
Cada usuário que estiver autenticando com seu servidor IAS deve ter permissão de acesso remoto,
o que pode ser definido através do snap-in Users and Computer (Usuários e Computador) do
Active Directory. Visualize as propriedades do usuário apropriado. Na guia Dial-in (Conexão por
discagem), marque Allow Access to Remote Access (Permitir acesso ao acesso remoto).
Você pode também configurar esta permissão através da política de acesso remoto. Consulte sua
documentação do Windows para obter as etapas apropriadas.
IMPORTANTE: A política deve permitir a autenticação via PAP, pois este é o único método RADIUS
que possui suporte atualmente. Reveja sua política IAS e garanta que este método tenha suporte
como meio de autenticação através de seu Bomgar Box.
17
Configurações Kerberos
Modo de administração do usuário [Kerberos]
Permitir todos os usuários – Permite que qualquer um que autentica através de seu KDC faça o
login no Bomgar.
Permitir somente entidades de segurança do usuário específicas na lista – Permite que
somente as entidades de segurança do usuário especificadas façam o login no Bomgar.
Permitir somente entidades de segurança do usuário que correspondem ao regex – Permite
somente que entidades de segurança do usuário que correspondem à expressão regular compatível
com Perl (PCRE) façam o login no Bomgar.
Modo de administração de SPN [Kerberos]
Permitir todos os Nomes da Entidade de Serviço (SPN) deste provedor de segurança ou selecionar
SPNs específicos de uma lista de SPNs atualmente configurados.
Configurações de grupo
Modo de operação [Grupo de Usuários, Grupo Cluster]
O modo de Failover ou Seleção aleatória. Failover primeiro tenta o servidor com prioridade mais
alta no grupo e, em seguida, se o servidor não estiver disponível ou a conta não for encontrada,
desce pela lista de servidores agrupados até encontrar a conta ou determinar que a conta não existe
em nenhum dos servidores disponíveis especificados.
Seleção aleatória equilibra a carga entre múltiplos servidores, escolhendo aleatoriamente qual
servidor a se tentar primeiro e, depois, se o servidor estiver indisponível ou a conta não for
encontrada, desce pelos servidores restantes no grupo até encontrar a conta ou determinar que a
conta não existe em nenhum dos servidores especificados e disponíveis.
Membros do grupo [Grupo de Usuários, Grupo Cluster]
A partir da lista Provedores disponíveis, selecione os servidores que deseja agrupar e movaos para o campo Provedores adicionados. Embora um provedor de segurança não possa ser
adicionado a mais de um grupo, um grupo pode ser adicionado como membro de outro grupo.
18
Priorização de provedores de segurança
1.
Para configurar a ordem na qual seu Bomgar Box procura usuários, arraste e solte os
provedores configurados para definir sua prioridade padrão. Os servidores agrupados movemse uma unidade e podem ser priorizados dentro do grupo.
2.
Depois de fazer alterações na ordem predefinida de prioridade, clique no botão Salvar
alterações.
3.
Por padrão, os provedores de segurança são definidos em Tentar próximo servidor se a
autenticação não tiver êxito por algum motivo. Para opções de configuração mais complexas,
clique em Editar para um servidor ou grupo.
4.
São dados três cenários de falha de autenticação.
Se o usuário não for encontrado – É feita uma procura
de usuário neste servidor e o usuário não é localizado.
Se o provedor estiver inalcançável – O Bomgar Box não
consegue se comunicar com o servidor.
Se a autenticação falhar – O Bomgar Box pode alcançar
este servidor, mas as credenciais fornecidas estão
incorretas.
5.
Para cada um dos cenários acima, defina a ação que deve ser tomada.
Tentar próximo servidor – Vá ao próximo servidor na lista de servidores configurados e tente
a autenticação.
Negar login – Invalida o login do usuário.
Tentar um servidor específico: {Nome do servidor} – Vai ao servidor especificado e tenta a
autenticação. Esta opção estará disponível para cada grupo e servidor configurado.
6.
Defina Se a autenticação for bem-sucedida para permitir o login ou para procurar grupos
aos quais o usuário pertence dentro de um servidor de grupo especificado.
IMPORTANTE: Para definir políticas de grupo com base em grupos dentro de um servidor remoto,
você deve primeiro configurar um provedor de usuário e um provedor de grupo em separado, e
depois habilitar a pesquisa de grupo a partir da página Editar do provedor do usuário. Múltiplos
provedores de usuários podem pesquisar grupos de um provedor de grupo.
19
Resolução de problemas
1.
A melhor maneira de resolver o problema de um login
fracassado é testar as configurações do provedor de
segurança. Para testar uma configuração, clique em Editar
para um servidor ou grupo.
2.
Clique em Configurações de teste na parte inferior da
página e insira o nome de usuário e senha para uma conta
no servidor ou grupo que está testando.
3.
Se o seu provedor de segurança for configurado de forma adequada e você tiver inserido um
nome de usuário e senha de teste válidos, receberá uma mensagem de êxito. Caso contrário,
você verá uma mensagem de erro. Clique em Mostrar detalhes para obter um registro que
ajudará na depuração do problema. Para ajuda na compreensão de qualquer mensagem de
erro que você possa receber, consulte os detalhes abaixo.
OBSERVAÇÃO: Um teste de servidor de grupo valida somente sua possibilidade de conexão
ao servidor e vinculação a um determinado nome de usuário. Ele não testa as configurações
de grupo. Se uma autenticação de servidor for desabilitada, o teste irá falhar, mesmo se a
configuração estiver correta e a conexão estiver feita. Porque a autenticação é tratada pelos
servidores de usuários, uma falha do teste de servidor de grupo no qual a conexão é feita não
deve causar problemas.
Um teste de grupo tenta os servidores de membro de acordo com o modo de operação,
podendo ser em ordem, por prioridade ou aleatoriamente. Se o primeiro servidor tentado
estiver corretamente configurado e você tiver inserido as credenciais de teste válidas, você
receberá uma mensagem de sucesso. Caso contrário, o grupo tentará o próximo servidor. Se
o teste for bem-sucedido em algum dos servidores, você receberá uma mensagem de êxito,
mesmo se os outros servidores estiverem configurados incorretamente. Você receberá uma
mensagem de erro somente se não puder vincular-se a nenhum dos servidores agrupados.
Os provedores Kerberos não podem ser testados.
4.
Se um teste não fornecer erros, mas o usuário não puder fazer o login no Bomgar usando
as mesmas credenciais, verifique se pelo menos um dos seguintes conjuntos de critérios foi
atendido.
a.
O usuário foi adicionado explicitamente a uma política de grupo existente.
b.
A política de grupo padrão definida para a configuração de provedor de segurança
criada acessa o servidor no qual o usuário está autenticando.
c.
O usuário é um membro de um grupo que foi adicionado explicitamente a uma política
de grupo existente e as duas condições a seguir foram atendidas:
•
O provedor de usuário e o provedor de grupo foram configurados individualmente.
•
A pesquisa de grupo foi habilitada no provedor de usuário.
20
Mensagem 1: Falha na autenticação
1.
O nome de usuário e a senha que está testando não correspondem.
2.
Reinsira as credenciais ou tente outro nome de usuário e senha.
Mensagem 9: Falhou porque são necessárias mais informações (Desafio/Resposta)
1.
A senha/PIN de usuário expirou ou o administrador redefiniu a senha. Já que o usuário testando
através da página Provedores de segurança não veria o aviso para redefinir a senha ou reconhecer a
alteração do administrador, o teste falhará devido à falta de dados do usuário.
2.
Como a falha no teste com esta mensagem não significa necessariamente que o servidor está
configurado incorretamente, tente testar com outro nome de usuário, cuja senha não foi e não precisa
ser redefinida.
Mensagem 10: Servidor indisponível
1.
Suas informações de DNS devem estar corretas. Você pode testar se o seu servidor DNS resolve
ao usar as ferramentas na página Utilities (Utilitários) sob a guia Suporte em sua interface
administrativa /appliance.
2.
A porta 398 para LDAP ou porta 636 para LDAPS deve estar aberta em qualquer firewall que possa
estar entre seu servidor e seu Bomgar Box ou entre seu servidor e um agente de conexão que você
possa ter instalado. A Bomgar também aceita o catálogo global sobre a porta 3268 para LDAP ou 3269
para LDAPS.
3.
Se utilizar LDAP com TLS ou LDAPS, o nome do host que inserir deve corresponder ao nome do host
usado em Subject Name de seu certificado SSL público do servidor LDAP ou o componente DNS de
seu Alternate Subject Name.
4.
5.
a.
Por exemplo, se o certificado for emitido para support.example.com e o nome do host que
inseriu for remote.example.com, a conexão irá falhar porque o servidor não sabe que support.
example.com é o mesmo site que remote.example.com.
b.
Neste caso, você deve alterar o nome do host inserido na página de configuração.
c.
Você pode usar um certificado curinga para certificar múltiplos subdomínios do mesmo site. Por
exemplo, *.example.com certificaria support.example.com e remote.example.com.
Seu servidor e seu Bomgar Box devem ser capazes de se comunicar.
a.
Por exemplo, se o seu servidor estiver por trás do firewall de sua empresa, mas o Bomgar Box
se encontra na DMZ, eles talvez não consigam se comunicar diretamente.
b.
Neste caso, instale um agente de conexão para habilitar a comunicação.
A conexão pode ajudar a identificar se há problema com o agente de conexão. Para habilitar a
conexão do agente de conexão, siga as etapas abaixo.
a.
Procure no diretório onde seu agente de conexão estiver instalado e abra o arquivo bomgar.ini.
b.
No fim da seção [General] (Geral), acrescente a linha agent_log_filename="{path}\{provider}_
Con_Agnt.log" onde {path} é o caminho do arquivo ao seu agente de conexão e {provider} é o
nome configurado de seu provedor de segurança. Salve e feche o arquivo.
21
6.
7.
c.
Para ativar a alteração do agente de conexão, abra seu console de gerenciamento de
serviços digitando Services.msc na caixa de diálogo Run (Executar). Selecione e
reinicie o agente de conexão da Bomgar.
d.
O registro será criado no diretório que mantém os arquivos de seu agente de conexão.
Assegure que o agente de conexão esteja online e seja capaz de fazer uma conexão de saída
ao aplicativo.
a.
Recomenda-se instalar o agente em um sistema com alta disponibilidade.
b.
A melhor maneira de evitar falhas nas autenticações caso o sistema de host do agente
de conexão deixar de funcionar é usar a funcionalidade de agrupamento embutida do
Bomgar para configurar dois sistemas em uma configuração de grupo de failover. Isto
permitirá que um controlador de domínio simples tenha alguma redundância.
c.
Uma forma de verificar se o agente de conexão perde a conexão ao servidor é abrir
uma política de grupo configurada. Se o campo Membros da política de grupo exibir
@@@ na frente de uma seqüência aleatória de caracteres, o agente de conexão
provavelmente ficou offline ou perdeu a comunicação.
d.
Se um agente de conexão perder a comunicação, os registros do agente de conexão
devem indicar que ele não conseguiu fazer uma conexão de saída segura ao aplicativo.
O Nome do provedor de segurança e a Senha inseridas ao instalar um agente de conexão
devem ser exatamente os mesmos inseridos durante a configuração do provedor de
segurança.
a.
É um erro comum usar o nome e a senha administrativa do controlador ao configurar o
agente de conexão, ao invés do nome e da senha definida na configuração do provedor
de segurança.
b.
Verifique o valor definido como nome do servidor ao abrir o arquivo bomgar.ini no
diretório do agente de conexão e verificar o valor ldap_agent_name.
c.
Para alterar o nome do servidor ou a senha referenciada pelo agente de conexão,
primeiro desinstale o agente de conexão existente e depois instale uma nova cópia do
agente de conexão.
d.
Quando solicitado para informar o Nome do provedor de segurança e a Senha,
certifique-se de inserir a configuração do provedor de segurança da interface /‌login do
Bomgar. Complete a instalação.
8.
Você deve utilizar o segredo compartilhado correto entre o RADIUS e seu Bomgar Box.
9.
Se um usuário que é normalmente capaz de autenticar não puder se conectar, verifique se as
horas do usuário estão restritas no servidor RADIUS.
10. Se estiver utilizando um servidor IAS, o usuário que faz a autenticação deve ter a permissão
de acesso remoto habilitada.
11.
A autenticação via PAP deve estar habilitada. Este é o único método RADIUS atualmente
suportado. Reveja sua política IAS e garanta que este método tenha suporte como meio de
autenticação através do Bomgar Box.
22
Mensagem 11: Usuário não encontrado
1.
Vincular nome de usuário, Vincular senha e Base de pesquisa devem estar no formato
correto na página de configuração do provedor de segurança.
2.
Se utilizar Active Directory, a opção Vincular nome de usuário deve ter permissão para ler as
associações de grupo de usuários no armazenamento de Active Directory.
3.
A consulta de pesquisa deve estar correta para sua configuração específica. Consulte a
documentação do provedor de segurança para ajudar mais adiante com esta configuração.
Erro 6ca e Logins lentos
1.
Um erro 6ca é uma resposta padrão que significa que o Bomgar Box não recebeu resposta do
servidor DNS. Isso pode ocorrer quando tentar fazer o login no cliente representante.
2.
Se os usuários estiverem experimentando processos lentos de login ou recebendo o erro 6ca,
verifique se o DNS está configurado em sua interface administrativa /appliance.
Resolução de problemas de provedores individuais
Quando configurar um método de autenticação LDAP, é importante configurar primeiro o provedor
de usuário, depois o provedor de grupo e finalmente as associações de política de grupo. Quando
estiver solucionando problemas, é recomendável trabalhar na ordem reversa.
1.
Verifique se a política de grupo está procurando dados válidos para um determinado provedor
e se você não tem caracteres @@@ no campo Membros da política de grupo.
2.
Em seguida, se um provedor de grupo for configurado, verifique se as configurações de
conexão são válidas e que Base de pesquisa do grupo está no formato correto.
3.
Se quiser utilizar pesquisa de grupo, verifique se o provedor do usuário está definido para
pesquisar associações de grupo de usuários autenticados.
4.
Para testar o provedor de usuário, defina uma política padrão e veja se seus usuários
conseguem fazer o login.
5.
Se os usuários não conseguirem fazer o login, verifique se o provedor é o primeiro na
prioridade ou os provedores com prioridade mais alta estão passando falhas nas solicitações
de login a este provedor de usuário.
23

Integração de fornecedor de segurança

Transcrição

Documentos relacionados

Instrues aos Autores de Contribuies para o SIBGRAPI

Como in HOW T tegrar o Fire um servidor O ewall Aker co r LDAP om

Data Sheet

Poderosa solução de Web Filtering. Gerenciamento e proteção dos

Readme do NetIQ iManager 2.7.7

Grandstream Wave

Bizhub PRO c6500

Tutorial Samba e LDAP com cn=config

FIT-LDAP: Um Serviço de Diretório Tolerante a Falhas e Intrusões

Comunicado de imprensa n.º 14/2013 Emily O`Reilly assume