Cyberoam Transparent Authentication Suite (CTAS) : Şeffaf kimlik doğrulama sistemi sayesinde active directory ile eş zamanlı entegre ile kullanıcılarınızı güvenlik duvarı üzerinde yetkilendirme imkanı sağlar.Farklı cihazlarda ve birden fazla oturum imkanı sunan bu servis ile kullanıcınız hangi cihaz üzerinde oturum açarsa açsın güvenlik duvarı üzerinden vermiş olduğunuz yetkiye göre internet erişimi sağlar ve özellik sayesinde güvenlik seviyeniz her durumda üst seviye olmaya devam eder.
Domain controller serverimizdeki kurulum adımlarına başlamadan önce cyberoam web admin arayüzünü kullanarak gerekli adımları yapalım.
Not : Resimleri orjinal boyutunda görmek için üzerine tıklayın.
Cyberoam web admin konsoluna bağlandıktan sonra IDENTITY > Authentication adımlarını takip ederek gerekli kurulum ekranına erişim sağlıyoruz ve açılan ekranda Add butonu ile entegrasyon işlemine başlıyoruz.Ben daha önce kurulum yaptığım için bazı bölümleri gizledim.Bu gizli bölümlerde tanımladığım isim ve ip bilgileri bulunmaktadır.Siz gerekli adımları izleyerek kuruluma devam edebilirsiniz.
Add butonunu tıkladığımızda açılan penceredeki bölümlere domain controller bilgilerimizi eksiksiz ve doğru bir şekilde yazıyoruz.Aşağıda bulunan resimdeki adımları takip ederek sizde gerekli alanları doldurabilirsiniz.Gerekli bölümleri doldurduktan sonra Search Quaries kısmında bulunan Add butonu yardımı ile dc=dcadı,dc=local şeklinde yazarak kaydediyoruz.
Yukarıdaki resimde yer alan bilgileri doldurduktan sonra ayarlarımızı kaydediyoruz.Bu bölümde dikkat etmemiz gereken nokta active directory server ip,kullanıcı adı, ve şifredir bu bilgileri kesinlikle doğru yazmamız gerekmektedir.İşlemimizi tamamlayıp Test Connection butonu ile bağlantı testimizi yapıyoruz eğer bağlantıda bir hata ile karşılaşılmadı ise kaydedip diğer ayarlarımıza geçiyoruz.Bağlantı kısmında hata oluşur ise ip kullanıcı adı şifre ve Netbios ayarlarımızı kontrol edip yeniden test etmemiz gerekmektedir.
Kurulumun ikinci adımına aynı ekranda bulunan bulunan Firewall Sekmesine geçerek devam ediyoruz.IDENTITY > Firewall Sekmesinde kullanıcıların hangi serverden geleceği ve cyberoam üzerinde hangi gruba ait yetkiler ile internete çıkacağını seçiyoruz.
Güvenlik duvarı üzerinde oluşturduğunuz tüm grupları Default Group bölümünde görebilir ve cihaza ilk bağlantıda bu gruba dahil olmasını sağlayabilirsiniz.Bu ayar sadece ilk kurulumda yapılır ve Active Directory userların tamamı cyberoam üzerinde ilk online olduğunda bu yetkileri alır dilerseniz daha sonra istediğiniz kullanıcıya istediğiniz grubu tanımlayabilirsiniz.
Firewall kısmındaki ayarlarımızı tamamladıktan sonra VPN bölümüne geçerek gerekli ayarlarımızı yapıyoruz.Bu ekranda da vpn yapacak kullanıcıların doğrulama yöntemi seçilecektir.Bu ayarın yapılması durumunda domain controller üzerinde bulunan tüm kullanıcılara vpn yetkisi verilmiş olacaktır.Eğer yapınızdaki tüm kullanıcıların vpn yapmaya ihtiyacı yoksa ayarları yapmayabilirsiniz.Gerekli ayarları es geçip daha sonra sadece VPN yapması gereken kullanıcıları tanımlayabilirsiniz.
Entegrasyon için cyberoam üzerindeki son adıma geçtik.Admin bölümündeki ayarları yapmanız gerekmemektedir.Bu ayarları yapmanız durumunda Administrator yetkisi olan kullanıcılarınızada doğrulama yaptırmanız gerekmektedir.Bu ayarları bende kullanmamaktayım.
Son adımıda kontrol ettiktan sonra firewall üzerindeki adımlarımızı tamamlıyoruz.Artık Domain Controller serverimize geçerek CTAS kurulumunu yapabilir ve active directory entegremizi tamamlayabiliriz.
Cyberoam Transparent Authentication Suite (CTAS) Temel Bilgiler ve Çalışma Mantığı
Ctas iki farklı servisin güvenlik duvarı ve active directory serverin haberleşmesi ile birlikte kullanıcıları kontrol eder.Kullanıcı bir cihazda oturum açtığında gerekli bilgiyi server audit eventlerinden alarak güvenlik duvarına bildirir ve kullanıcının internete çıkması için bağlı bulunduğu gruptaki yetkileri kullanmasına izin verir.
CTA Agent : Etki alanı (domain) denetleyicisine gönderilen kimlik doğrulama (log on,log off) işlemlerini izler ve bu işlemleri CTA Collector servisine bildirir.
CTA Collector : Agent üzerinden bildirilen kimlik doğrulama işlemlerini toplar ve güvenlik duvarına bildirerek gerekli yetkilerin kullanıcıya atanmasını sağlar.
Cyberoamın Layer 8 yani kimlik tabanlı güvenlik katmanı için ctas önemli bir etkendir.
Çalışma Mantığı
1.Kullanıcı network üzerinde bulunan etki alanında herhangi bir cihazdan oturum açtığında kimlik doğrulama işlemi başlatılmış olur.
2.Bu oturum açma yada oturum kapatma işlemi CTA Agent tarafından eş zamanlı olarak yakalanır ve 5566 portu kullanılarak CTA Collectore bildirilir.
3.CTA Agent tarafından CTA Collector servisine bildirilen kullanıcı yerel veri tabanına kaydedilerek 6060 portu üzerinden eş zamanlı olarak Cyberoam güvenlik duvarına bildirir.
4.Cyberoam bildirilen kullacının grup üyeliğini Domain controller serveri üzerinden sorgular ve güvenlik duvarı üzerindeki group yetkisini tanımlayarak veritabanına kaydeder.
Yukarıda belirtilen 4 adım sonrasında kullacı tarafından gönderilen HTTP / HTTPS istekleri bağlı bulunduğu gruba göre değerlendirilir gerekli erişim izni verilir yada reddedilir.İstek yapan kullanıcı Active Directory üzerinde kayıtlı değilse ve gerekli ayarlar yapılmış ise misafir olarak tanımlanarak kimlik doğrulama işlemi için Captive Portala yönlendirilir.
Karmaşık bir yapıda görülen bu işlemler kullanıcı log on olması ile birlikte eş zamanlı olarak başlar ve sonlandırılır.İlk Logon işleminde kullanıcı ve active directory ilişkisi kontrol edilir ve gerekli kontrol sonrasında kullanıcı cyberoam users bölümüne kaydedilir daha sonrasında kullanıcının sadece log on ve log off durumları takip edilir.
Cyberoam Transparent Authentication Suite (CTAS) Kurulumu
Ctas Download linkinden gerekli uygulama indirilerek Active Directory Domain Controller serverine kurulumu yönetici tarafından yapılacaktır.Linkten Gerekli programı indirdikten sonra kurulum adımları aşağıdaki ekran görüntülerindeki şekilde yapılır.
Next butonu tıklanarak ikinci adıma geçilir ve bu adımda uygulamanın kurulacağı klasör ve sürücü seçimi yapılarak kurulma devam edilir.
Buraya kadar yapılan işlemler bir çok program kurulumda olduğu gibi standart kurulum işlemleridir.Sonraki adımlar yapılacak işleme göre seçilerek devam edilir.Makalede sıfırdan kurulum anlatıldığı için gerekli adımları resimlerdeki gibi tamamlamak gerekmektedir.
SSO Suite seçilerek tüm servislerin kurulmasını sağlıyoruz.
Aşağıdaki resimde CTAS servislerini başlatmak için gerekli kullanıcı ve şifre tanımlaması yapılması istenmektedir.Bu alanda yapacağınız tanımlamada yerel yada domain yöneticisi olan bir kullanıcı seçmemiz gerekmektedir.
Geldik kurulumun sonuna Finish butonu ile kurulumu sonlandırıyoruz.Kurulum sonrasında Başlat menüsüne CTAS isminde oluşan klasör içerisinde gerekli uygulamaları görebiliriz.
Cyberoam Transparent Authentication Suite uygulamasını tıklayarak gerekli tanımlamalarımızı yaptıktan kısa bir süre sonra Domain Controller ve Cyberoam güvenlik duvarının haberleşme servisleri çalışmaya başlayacak.Eş zamanlı işlemleri ve kullanıcıların güvenlik duvarı veri tabanına kaydedilmesini Firewall web admin arayüzüne bağlanarak IDENTITY > Users sekmesine girerek kontrol edebilirsiniz.
Cyberoam ve Active Directory entegre işlemi burada bitmiştir bu işlemlerden sonra extra bir ayar yapmaya gerek yoktur. CTA servisler gerekli işlemleri yaparak haberleşmeyi sağlayacaktır.
Umarım faydalı bir makale olur ve işinizi görür.Makale serimizin devamında görüşmek üzere.
Yorum yapmak için giriş yapmalısınız.
Bu kurulumlar dan sonra Active Directory de bulunan kullanıcıların bilgisayarlarında ek bir işlem yada kurulum yapmam gerekiyor mu ?
Merhaba ;
Kurulum öncesinde ve sonrasında bilgisayar tarafında hiç bir işlem yapmanıza gerek.
merhaba, yeni yeni sistem kuruyoruz birazda acemiyim, cyberoam firewall cihazımız ve bir adet serverimiz var, server active directory kurup kullanıcıları kontrol altına almayı düşünüyordum, serverda da değilde cyberoam da yapmam daha mantıklı sanırım, sizin fikriniz nedir
Merhaba ;
Cyberoam ve AD entegrasyonu yapmanız bence daha iyi en azından aynı kullanıcıyı 2 kere açmak zorunda kalmaz domain yapısındaki kullanıcıları cyberoama çekersiniz.
Merhaba;
Yeni kurduğumuz sistemde AD ile entegrasyonu sağladım. Kullanıcılara da Simultaneous Logins kısmında 2 değerini vererek sadece iki ayrı cihazda oturum açmalarını sağladım. Bir mobil ve bir bilgisayar. Okulda kullandığımız için öğretmenler farklı sınıflarda oturum açmaları gerekiyor. Ancak bilgisayarda oturum açtıklarında, işleri bitip oturumu kapatmalarına rağmen, live users kısmında kullanıcıyı görüntülüyorum. Kullanıcı oturumu kapatmasına rağmen bir başka sınıfta oturum açmak istediğinde sınıra ulaştığı için internet erişimi sağlayamıyor. Active directoryde oturum kapattığında cyberoam tarafında da ilgili oturumun direk kapatılması için ne yapmalıyım..?
Merhaba ;
Active directory üzerindeki kullanıcıların logon ve logoff bilgilerini firewallun çekebilmesi için control panali/administary tools/ local security policy/ audit policy den aşağıda belirtilen logon eventslarını success etmeniz gerekiyor.
Audit account logon events : Success,Failure
Audit logon events : Success,Failure
Ayrıca AD nin kurulu olduğu serverde windows firewall kapalı olması gerekiyor.