IT & IoT Security | Cloud | It's all about the life itself

Nothing in life is as important as you think it is, while you are thinking about it.

Websense Triton – Web Security & Multi-Realm Authentication Yapısı

Merhaba,

Önceki yazılarımda; Websense Triton, Web Security , Content Gateway kurulumu ve ilk yapılandırılmalarından bahsetmiştim. Bu yazımda, user authentication’ının birden fazla domain’den yapılması hususundan(multi realm authentication) bahsetmek istiyorum.

Test ortamımdan bahsederek başlamak uygun olacaktır.İlk olarak Active Directory yapısından bahsedeyim.

– Active Directory Forest 1

o Root Domain : e-vault.info

o Child Domain : wind.e-vault.info

– Active Directory Forest 2

o Root Domain : nwtraders.msft

Bu domain’lerdeki test kullanıcılarım aşağıdaki gibidir.

[email protected]

[email protected]

[email protected]

[email protected]

Sanal sunucular ve rolleri aşağıdaki gibidir.

– 3 x Domain Controller

– 1 x SQL Server

– 1 x Websense Triton + Web Security

– 1 x Websense Content Gateway ( Hyper-v üzerine kurduğum Red Hat üzerinde çalışıyor)

– 2 x Windows 7 , test için

Integrated Windows Authentication mekanizmasını multi realm özelliğini devreye aldıktan sonra, realm bazında devreye alabilirsiniz. Yazımda bu tür bir yapılandırmadan bahsetmeyeceğim. Test ortamımdaki Active Directory domain’leri arasında “TRUST” ilişkisi yapılandırdım. Yazımın konusu, birbirleri arasında “TRUST” ilişkisi bulunan Microsoft Active Directory Realm’ları için websense web security’nin ve content gateway’in kullanımıdır.

***Önemli – Bilgilendirme***

Bu yazıda geçenler; test ortamımdaki kurgumdan ibarettir.

Production ortamınız için bu tür işlemler yapmak istiyorsanız Websense ürünleri için Websense Inc. ile görüşmelisiniz!Active Directosy konusunda ve Trust ilişkileri konusunda Microsoft Inc. ile görüşmelisiniz!

***Önemli – Bilgilendirme***

WIND domain’im, E-VAULT domain’imin child domain’idir. Dolayısıyla WIND ile E-VAULT arasında parent&child trust ilişkisi mevcuttur.

E-VAULT ile NWTRADERS forest’ları arasında; two-way , forest-wide authentication seçimli, Forest Trust yapılandırdım. Forest Level Trust, transitive olduğu için WIND domain’i de bu durumdan haberdar olmuş oldu!

***Active Directory, oldukça geniş ve kompleks bir yapıdır. Testlerinizi çalışan ortamlarda yapmamanız gerekir!

NWTRADERS Forest’ındaki Trusted Domain Object aşağıdaki gibidir.

clip_image002

E-VAULT Forest’ındaki Trusted Domain Obect ‘ler aşağıdaki gibidir.

clip_image004

Yazımda bahsetmekte olduğum senaryoda, forest’lar arasında trust ilişkisi olmazsa yada trust ilişkisini iptal ederseniz, websense content gateway hangi forest’a yada domain’e üye ise, o domain’deki user’ları yetkilendirebilir!

Trust ilişkisini kurmadan önce, NWTRADERS forest’dan aldığım görüntüyü, üstte bahsettiğim durumu pekiştirmek adına aşağıda paylaşıyorum.

clip_image006

Yapılandırmayı anlatarak yazımı devam edeyim ve tamamlayayım.

Forest’larımdan ve child domain’imden bahsetmiştim. Websense Triton , Web Security ve Content Gateway E-VAULT forest’ına üye sunucularda çalışmaktadır. Websense Content Gateway’in domain üyeliğine dair ekran görüntüsünü aşağıdaki gibidir(TRUST kurulumu öncesinden bir görüntüdür!).

clip_image008

Triton arayüzünden Directory Services yapılandırmasına dair yaptığım ayarlar aşağıdaki gidibir.

clip_image010

192.168.1.50 ip adresi, E-VAULT forest’ına ait olan GC server’a aittir. 192.168.1.91 ip adresi NWTRADERS forest’ına ait olan GC server’a aittir. Her iki forest arasındaki TRUST ilişkisinden sonra, Websense Content Gateway domain connection durumu da aşağıdkai gibidir.

clip_image012

Daha önce paylaştığım görüntü TRUST kurulumu öncesindeydi! Üstteki görüntü ise TRUST ilişkisi kurulduktan sonraki görüntüdür!

TRUST öncesinde, NWTRADERS forest’ından authentication failure paket bilgileri aşağıdaki gibidir.

clip_image014

Bakınız; üstteki görüntüde, 192.168.1.91 ip adresli sunucunundan gelen paketlerin bir kısmı yetkilendirilememiş(authentication failure) ama bir kısmı yetkilendirilmiş.Yetkilendirilemeyen bağlantılar TRUST öncesi bağlantılardır. Yetkilendirilen bağlantılar ise TRUST sonrası bağlantılardır.

192.168.1.80 ve 81 ip adresli sunuculardan gelen bağlantılarda, yetkilendirilememe sorunu görünmüyor. Çünkü o sunucular content gateway’in üye olduğu forest’a aittir!

Websense Content Gateway’de IWA(Integrated Windows Authentication) devrede(üstteki ektan görüntüsünden anlaşılıyor). Aslında bu bilgiyi üst kısımlarda ayrıca paylaşsam daha uygun olurdu ama atlamışım 🙂

Rapor alabilmek için test amaçlı internet gezintileri yaptım.Forest’larımdaki kullanıcıların Internet kullanım durumlarına dair bir raporu paylaşıyorum.

clip_image016

Bir başka rapor aşağıdaki gibi.Amacıma yönelim aşağıdaki raporu beğeneceğinizi düşünüyorum 🙂

clip_image018

Üstteki rapor, yazımın konusuna daha uygun değil mi? 🙂 Multiple Active Directory Realm yapısı iyi görünüyor 🙂

Şirket politikası, güvenlik vb. sebeplerden dolayı her durumda active directory trust ilişkisi kurmak istemeyebilirsiniz. TRUST ilişkisi olmadan iwa ve multiple realm authentication yapılandırması da başka bir yazımın konusu olsun 🙂

Herkse sorunsuz ve neşeli günler dilerim.