Citrix ADC SSLVPN(進階設定)

-

 繼上篇Citrix ADC SSLVPN(基礎設定),此篇主要做一些安全性的調整,還有透過AD的Nested group search讓管理上較為方便,並結合Authorization Policy根據不同群組給予限制。

主要為更改驗證的部分並將VPN改成Split tunnel,在根據不同AD Group給予不同可連線的目的或額外限制(Ex.只能在上班時間連線),藉此管控各個使用者的連線狀況。

主要流程

  • 修改Session profile:開啟split-tunnel,將Default authorization action改成Deny
  • 增加split-tunnel目標:將環境中需要走vpn tunnel的目標加入
  • 加入新的LDAP Server:開啟nested group search
  • 新增AAA group:透過nested group search將AAA group與AD group mapping在一起
  • 在AAA group新增Authorization policy:根據不同group給予不同的存取目標及限制

進入前篇創建的Gateway virtual server修改session policy


開啟spilt-tunnel
將default authorization action改成DENY,主要目的是讓群組中沒有Authorization policy給予Allow的話,就算能成功驗證登入也無法連線任何目標
新增Intranet Application,此選項功能主要是開啟spilt-tunnel後,只有加入Intranet Application中的網段會進入vpn tunnel

除了設定網段也能調整個細微的限制,如限制只能連線某個port或protocol...等

接著新增新的LDAP Server
前半部分與前篇一樣,輸入LDAP server的基本訊息,記得要勾Authentication
主要是後半部在Search Filter中加入參數
memberOf:1.2.840.113556.1.4.1941:=CN=SSLVPN,OU=VPN,DC=lab,DC=local
前面的memberOf1.2.840.113556.1.1941為微軟AD OID其中一種收尋模式,可參考此處
主要是能夠進行巢狀收尋,尋找使用者是否包含在SSLVPN底下其他的群組內
本次lab群組結構如下
之後在新增LDAP policy

回到Gateway virtual server更改LDAP設定
將舊的LDAP policy unbind在bind剛剛加入的LDAP policy

確認目前使用者和群組是否正確

接著在AAA group新增與AD group上同樣名稱的群組,在AD驗證時自動將AD group mapping到AAA group中
名稱要與AD Group完全一致,weight作用為驗證完畢時使用者符合多個AAA group時的權重
新增完AAA group後要新增Authorization policy
ˇ
第一個是給vpn-admin用的policy,其內容為允許存取172.16.15.0/24和192.168.1.0/24網段
CLIENT.IP.DST.IN_SUBNET(172.16.15.0/24) || CLIENT.IP.DST.IN_SUBNET(192.168.1.0/24) 
第二個是給vpn-user用的policy,只允許存取172.16.15.0/24網段,並且只能在上班時間(9:00~17:00)進行連線
CLIENT.IP.DST.IN_SUBNET(172.16.15.0/24) && SYS.TIME.WITHIN(LOCAL 09h,LOCAL 17h)
最後一個是DNS流量限制的Policy,因為本篇lab沒有打算要做限制所以直接輸入true(allow all)
接著回到AAA Group將Authorization Policy綁上

此時要注意Authorization policy會將流量分成四種,1.Request(TCP) 2.UDP request(UDP) 3.DNS request 4.ICMP request,所以同個authoraztion policy要綁多次
DNS部分因不做限制所以綁All allow
接著進行測試ssh到ADC並進人shell,cat /tmp/aaa.debug,此log為登入驗證時會產生相關的log,方便排除錯誤及確認LDAP設定
嘗試用AD帳號登入
從log能看到目前mapping group是前面規劃的vpn-admin
使用另一帳號做測試


如此一來就能將有權限登入vpn的帳號加入這些群組來控管

整個重點是將需要用VPN的使用者加入特定的群組,這些群組可能是各部門已授權使用VPN的使用者或是單純使用群組做管控,之後將其Mapping進ADC的AAA group透過Authorization上加入一些限制的policy,而上層再加入一個SSLVPN群組,主要方便在AD上管理時,若要停用某個vpn權限時,直接將群組改名就能讓Nested group mapping不到或將其移除SSLVPN群組進而達到停用的效果,而不用將user一個一個從群組中移除



Linkedin: https://www.linkedin.com/in/家豪-李-055228180

留言

張貼留言