Hướng dẫn cấu hình Captive Portal xác thực người dùng (Local & Active Directory)
Chào mọi người, hôm nay mình sẽ hướng dẫn nhanh các bước cấu hình tính năng Identity Awareness (Captive Portal) trên tường lửa Check Point (phiên bản R82). Lab này yêu cầu bắt luồng truy cập web của người dùng và ép xác thực thông qua tài khoản tạo trực tiếp trên Firewall (Local) hoặc kéo từ máy chủ Domain Controller (AD).Mô hình IP tham khảo:
- Win Client (LAN): 192.168.10.10
- SGW (Firewall mặt trong): 192.168.10.254
- Win Server (AD/DNS): 192.168.10.1
Bước 1: Tích hợp Active Directory (AD)
Để Firewall lấy được danh sách user từ máy chủ AD, chúng ta cấu hình LDAP.1. Ở thanh công cụ bên phải (Object Explorer), chọn New > More > User/Identity > LDAP Account Unit.
2.Tab General: Đặt tên (vd: AD_Server), mục Profile chọn Microsoft_AD.
3.Tab Servers: Bấm Add, nhập IP WinServer (192.168.10.1), Login DN (administrator@lab.local), và nhập mật khẩu của Admin AD.
4.Chuyển sang tab Objects Management, bấm Fetch Branches. Nếu nó load ra được cấu trúc cây thư mục của AD (như hình dưới) là đã kết nối thành công. Bấm OK.
Bước 2: Tạo Local User trực tiếp trên Check Point
Dành cho trường hợp muốn dùng tài khoản tạo trực tiếp trên Firewall.1. Ở Object Explorer, chọn New > User/Identity > User Group. Đặt tên là Group_Local.
2. Tiếp tục chọn New > User/Identity > User.
3. Tên user: localuser1. Đặt mật khẩu ở tab Authentication.
4. Tab User Groups: Add user này vào Group_Local vừa tạo.
Bước 3: Tạo Access Roles (Gom nhóm User)
Access Role là cách Check Point gom user lại để viết Policy cho gọn.Vào New > User/Identity > Access Role.
- Tạo Role 1 (Cho AD): Đặt tên Role_AD_Users. Sang tab Users, chọn Specific users/groups, tìm tới OU Phong_IT hoặc chọn trực tiếp user aduser1 từ LDAP.
- Tạo Role 2 (Cho Local): Đặt tên Role_Local_Users. Sang tab Users, chọn nhóm Group_Local.
Bước 4: Bật Identity Awareness & Captive Portal trên Firewall
1. Nháy đúp vào biểu tượng Firewall SGW trong SmartConsole. Ở menu bên trái, tìm mục Identity Awareness và tick chọn nó.
2. Một cửa sổ hiện ra, tick chọn 2 mục: Browser-Based Authentication và Active Directory Query. Trình hướng dẫn sẽ hỏi bạn kết nối tới AD nào, chọn AD_Server vừa tạo.
3. Ở phần Browser-Based Authentication, bấm Settings. Kiểm tra ô Main URL (thường là [https://192.168.10.254/connect](https://192.168.10.254/connect)). Bấm OK lưu lại.
Bước 5: Viết Security Policy
Vào mục Security Policies > Access Control > Policy. Tạo các Rule sau theo đúng thứ tự (chuột phải > New Rule Above/Below):- Allow_DNS: Source 192.168.10.10 -> Dest 192.168.10.1 | Service domain-udp | Action Accept. (Cho client hỏi DNS nội bộ).
- Captive_Portal_Access: Source mạng LAN -> Dest SGW | Service http, https | Action Accept. (Bắt luồng Web về Firewall).
- Internet_AD_Users: Source Role_AD_Users -> Dest Any | Action Accept.
- Internet_Local_Users: Source Role_Local_Users -> Dest Any | Action Accept.
- WinServer_DNS_Out: Source 192.168.10.1 -> Dest Any | Service domain-udp | Action Accept. (Cho WinServer ra net hỏi DNS).
- CleanUp_Rule: Bất kỳ cái gì không khớp ở trên -> Drop.
Bước 6: Cấu hình Hide NAT
Cấu hình xong Policy thì phải cấu hình NAT để mạng LAN ra được Internet.- Vẫn ở mục Access Control, bạn chuyển xuống tab NAT.
- Thêm một Rule NAT mới để chuyển đổi IP cho mạng LAN.
- Ở cột Original Source, chọn mạng LAN nội bộ (192.168.10.0/24).
- Ở cột Translated Source, chọn phương thức là Hide (ẩn sau IP cổng ngoài của Firewall SGW).
- Cuối cùng, nhấn Publish và Install Policy trên thanh công cụ để đẩy cấu hình xuống thiết bị.
Bước 7: Test thành quả trên Client
1. Vào máy ảo Client, set IP tĩnh và trỏ DNS về IP của WinServer (192.168.10.1).
2. Mở trình duyệt, gõ link [https://192.168.10.254/connect](https://192.168.10.254/connect) (hoặc một trang thuần http). Trang đăng nhập sẽ hiện ra. Bạn nhập user aduser1 hoặc localuser1 vào.
3. Đăng nhập thành công, Firewall báo Granted. Mở tab mới lướt web vô tư!
Đính kèm
Bài viết liên quan
Được quan tâm
Bài viết mới