Sophos UTM’de Active Directory Entegrasyonu

Herkese Merhaba,
Sophos UTM Firewall’ımızda birden çok yerel SSL VPN veya yerel kullanıcı yönetmek yerine, zaten var olan Active Directory’mize entegre ederek merkezi bir yönetim elde edeceğiz.
Active directory nedir sorunuz için microsoft üzerinden bilgi sahibi olabilirsiniz 🙂
Haydi işlemlere başlayalım. Öncellikle active directory’de yetki bir kullanıcı oluşturuyoruz veya var olan yetkili bir kullanıcıda kullanabiliriz. Ben genelde yeni bir servis kullanıcı oluşturuyorum.
sophos adına bir kullanıcı oluşturuyorum. Oluşturduktan sonra Active directory (AD) üzerinde kat1-usergruop diye bir grup oluşturuyorum.
Oluşturduğum gruba kat1printer adında bir kullanıcı ekliyorum ve testlerimizi bu kullanıcı üzerinden gerçekleştireceğiz. AD tarafındaki işlemlerimiz şuan için bu kadardır.
Şimdi Sophos UTM firewall’ımıza firewall’ımıza geri dönüyoruz ve Definitions & Users sekmesinde Authentication Services sekmesine gidiyoruz. Bu sekmenin altında Global Settings sekmesinde Create users automatically seçeneğini işaretliyoruz. Bunun sebebi, AD tarafında yeni bir kullanıcı oluşturulduğunda firewall’un bunu otomatik olarak oluşturmasıdır. Bu seçeneği etkinleştirdikten sonra, hangi taraflar için bu kullanıcıya izin vereceğimizi belirlemek için Automatic User Creation for Facilities sekmesinin altında bulunan End-User Portal seçeneğini seçiyoruz.

Şimdi ikinci sekmedeki Servers işlemlerine geçiyoruz. Bu sekmede New Authentication Server butonuna basarak, backend bağlantımızın AD olduğunu belirtiyoruz. Position seçeneğini Top olarak sabit bırakıyoruz ve Server kısmında AD‘mizin çalıştığı sunucuyu seçiyoruz.
Bind CN kısmı soruluyor. Bunu bulmanın en kolay yolu, AD‘ye bağlanarak kullanıcıya sağ tıklayıp özellikler seçeneğine gidip Attribite Editör kısmına gelerek distinguishedName kısmındaki Value değerini kopyalamaktır. Örneğin; CN=sophos,CN=Users,DC=genc,DC=local şeklinde olacaktır.


Eğer sizde Attribute Editör gozukmüyor ise View seçeneğine gelip Advanced Features açmanız gerekmektedir.

Bind DN bilgilerimizi doğru bir şekilde girdikten sonra, şimdi Test butonuna basarak bağlantımızın doğruluğunu kontrol edebiliriz. Eğer çıktımız Server test passed. şeklinde ise, bağlantımız başarılı bir şekilde gerçekleşti.
Şimdi AD bağlantısı yapmadan önce, Base DN tanımlamamız gerekiyor. Base DN değerimiz “DC=genc,DC=local” şeklinde olacak. Bu değeri Servers sekmesindeki Base DN bölümüne girerek tanımlayabiliriz.
Artık AD ile bağlantı kurmaya hazırız.

Advanced sekmesine geçiyoruz ve Prefetch Directory Users kısmına geliyoruz. Bu kısımda Server olarak AD‘mizin çalışan server’ını seçiyoruz. Prefetch interval seçeneğini Daily olarak belirliyoruz ve Prefetch time (hh:mm) kısmına interval’in çalışmasını istediğimiz saati giriyoruz. Sonrasında Groups kısmına gelerek AD‘deki grubumuzun CN bilgisini giriyoruz. Örneğin, CN=kat1-usergruop,DC=genc,DC=local.
Bu işlemleri tamamladıktan sonra Apply butonuna tıklayarak ayarlarımızı kaydediyoruz.

Apply butonuna tıklayarak kaydettikten sonra Prefetch Now o grubun içindeki kullanıcıları alıyoruz.

Definitions & Users sekmesinde bulunan Users & Groups sekmesinde New Group butonuna tıklayarak bir grup oluşturuyoruz. Grup adı olarak Kat1_User_Group yazıyoruz. Group type olarak Backend membership seçiyoruz. Backend seçeneği olarak AD‘yi belirtiyoruz ve Limit to backend group(s) membership seçeneğini işaretliyoruz. Grubumuzun bulunduğu CN bilgisini giriyoruz ve son olarak Save butonuna tıklayarak kaydediyoruz.

Remote Access sekmesindeki SSL sekmesinde var olan bir vpn grubuna dahil edebilir veya yeni bir tane SSL vpn profili oluşturabilirsiniz. Ben genelde yeni bir SSL vpn profili oluşturuyorum.

Remote Access tabındaki Advanced sekmesine gerek Client Options altında bulunan kısmı AD’im çalıştı ipyi dns olarak tanımlıyorum.

Son olarak Network Services sekmesinin altında bulunan Forwarders sekmesindeki kısma AD sunucusunun ipsini tanımlıyorum.

Bu işlemi yaptıktan sonra artık test için hazırım. Firewall’ımı User Portal’ına gidiyorum. Kat1printer’in kullanıcı bilgileri ile login oluyorum.

İşletim sistemime uygun olan konfig dosyasını indiriyorum. İndirdikten sonra tekrar ssl uygulaması üzerinden login olmayı deniyorum.

Başarılı bir şekilde bağlantı sağlıyorum.
Bu bir sonraki yazılarımda görüşmek üzere… Herhangi bir soruda veya sorunda bana Linkedin üzerinden veya yorumlardan ulaşabilirsiniz. 🙂