Upload
phamkhuong
View
216
Download
0
Embed Size (px)
Citation preview
web security | data security | email security © 2009 Websense, Inc. All rights reserved.
Configure Websense v7 con su Servicio de
Directorio y agentes de identificación
transparente
Información sobre el Webinar
Bienvenidos al Webinar de soporte de Websense
– Tema: “Configure Websense v7 con su servicio de directorio y agentes de identificación transparente”
Información para escuchar la presentación:
– Este Webinar ofrecerá streaming de audio
– Si su conexión esta causando que el audio se escuche entrecortado, un
numero limitado de líneas telefónicas internacionales sin costo estarán disponibles siguiendo la liga:
– http://www.websense.com/July29_Webinar_International
2
Agenda – ¿Que aprenderemos hoy?
Configure la comunicación entre Websense y su servicio de directorio en:
– Windows NT Directory / Active Directory (modo mixto)
– Windows Active Directory (modo nativo)
Información técnica vital para configurar su servicio de directorio en Websense
¿Cómo prever errores de filtrado al hacer cambios en el servicio de directorio?
Mejores prácticas de implementación y configuración
Técnicas para comprobar y/o diagnosticar el filtrado correcto de objetos de directorio.
3
Índice
Aprenda como Websense funciona con su servicio de directorio
– Preinstalación
– Funcionalidad de filtrado a objetos de directorio
– Orden de filtrado
Windows NT/Active Directory(modo mixto)
Windows Active Directory (modo nativo)
– Configuración avanzada
– Dominios, arboles, y bosques múltiples
– Mejores practicas
Técnicas de diagnostico hacia directorio de servicios
– Depuración de servicios: User Service, DC agent, LogonAgent
4
5
Presentador
Titulo: Analista Técnico de Websense
Educación / Certificaciones:Asociado en Sistemas/Redes
Diplomado en Sistemas de Computación
WCSE y otras.
Entrenamientos/Habilidades: Academia de Cisco
Responsable técnico de CALA
entre otros.
Para mas información:www.websense.com/support/
David Valenzuela
6
¿De que forma realiza Websense el filtrado de Grupos y Usuarios?
El servicio Websense User Service es el componente que habilita el filtrado hacia Usuario, Grupo y/o UO
Consulta al servicio de directorio por medio de peticiones LDAP para así obtener la asociación de objetos
Despliega los objetos de Directorio en el Websense Manager.
La aplicación de políticas a objetos de directorio sigue el siguiente ordenamiento lógico:– Usuario
– Equipo (numero IP)
– Equipos (rango de IP’s)
– Grupo• Cuando un usuario pertenece a grupos múltiples, por defecto la
política menos restrictiva aplica.
– UO
– Dominio
– Política Predeterminada• La política global actúa como una regla final en un firewall
• Aplica cuando no haya alguna otra política aplicada a dicho tráfico
7
Orden de filtrado
Antes de la Instalación y configuración
El Servicio Websense User Service se puede instalar en Linux o en Microsoft Windows .– Solo una instancia del User Service por cada Policy Server.
– Cada Policy Server soporta un tipo de servicio de directorio.
Para identificar a los usuarios de forma transparente:– Implemente un agente de identificación transparente (DC Agent,
Logon Agent.).
– Configure su integración a que envié la autenticación hacia Websense
Agentes de Identificación transparente (Windows):– DC Agent
– Logon Agent
8
Mas información sobre esto…
Base de Conocimientos de Websense
– http://kb.websense.com
– Guías:
• Instalación KB: 3672
• Implementación KB: 3526
• Ayuda del Websense Manager KBA: 3648
9
Windows NT / Active Directory (Modo Mixto)
Configuración habilitada después de instalar Websense
El Servicio de Usuarios se comunica al Directorio vía NTLM
NetBIOS se usa para obtener la información de sesión en el formato: dominio\usuario.
DC Agent, y Logon Agent pueden ser usados para identificar a los usuarios de forma transparente.
No hay configuración habilitada en el Websense Manager a realizar si el servicio esta instalado en Windows.
11
Demo: Directorio Windows NT / Active Directory(Modo Mixto)
1. Revisar la configuración en el Websense Manager.
2. Verificar la cuenta administrativa configurada al servicio Websense User Service.
3. Navegar el árbol del Directorio por medio del Websense Manager.
12
Windows Active Directory (Modo Nativo)
Accede al Directorio usando consultas LDAP
Construye la estructura y árbol del directorio usando la ruta proporcionada por la consulta LDAP
– ldap://host:port/DN?attributes?scope?filter?extensions
En la configuración la comunicación puede ser a:
– Controladores de Dominio
– Catalogo Global
– Nombre DNS del Dominio• Mydominio.net | mydominio.local
DC Agent y el Logon Agent pueden ser usados para identificar a los usuarios de forma transparente.
13
Demo: Windows Active Directory
1. Configuración de la Política predeterminada para evitar filtrado incorrecto durante la transición a modo nativo.
2. Remover la cuenta administrativa usada en el servicio(si aplica)..
3. Dentro de Configuración>Servicios de Directorio en el Websense Manager:a. Identifique a su catalogo global, controlador de dominio o
Nombre DNS de dominio (nombre o numero IP).
b. Configure el puerto (3268 esta por defecto).
c. Identifique el contexto de ruta.
d. Configure la cuenta Administrativa (debido a las consultas que realiza al AD se necesita una cuenta con privilegios de Administrador de Dominio).
e. Configuración Avanzada si es necesaria.
14
Demo: Windows Active Directory
4. Verificar que se puedan agregar objetos de Directorio..
5. Técnicas de diagnostico
6. Mejores practicas
15
Identifique el catalogo global del dominio primario(use el puerto 3268).
Identifique un controlador de dominio por cada dominio secundario:– No tienen que tener la propiedad de Catalogo Global.
– Use el puerto 389.
Ambiente con Dominios Múltiples
16
Ambiente con Dominios Múltiples
Un Contexto root es necesario para identificar a cada dominio de forma única.
Una cuenta administrativa por Dominio es necesaria.
Para evitar filtrado erróneo:
– Los nombres de usuario deberán ser únicos en cada dominio.
– Si no lo son, podemos usar el parámetro UserDomainMap=on
– Agregue grupos Universales NO Globales, véase KBA 4101.
17
Filtrado hacia usuarios no funciona
– Configuración de los agentes de identificación transparente
– DC Agent y Logon Agent; confirmar que haya un mapa de usuarios
Técnicas de Diagnostico
18
Técnicas de Diagnostico
DC agent y sus archivos de configuración, dc_config.txt y el transid.ini
LogonAgent, modo “Verbose” y ejecutar de forma local
19
User Service
– Configuración y comunicación hacia GC, DC, Dominio(s)
Técnicas de Diagnostico
20
Haciendo un telnet hacia su
controlador de dominio en el
puerto 389 o 3268 usted podrá
confirmar que hay comunicación.
– ¿ Filtrado a grupos no funciona? Ejecutar DSTrace dentro del Websense.ini
Técnicas de Diagnostico
21
La captura DSTrace nos muestra la estructura de la
petición al directorio de servicios por parte del User
Service. De esta forma podremos analizar si
Websense encuentra o no a dichos usuarios al
igual podremos saber si la consulta hacia el
directorio es correcta…
Ambiente de dominios múltiples (DomainMap=on)
La variable se habilita
en el websense.ini
Técnicas de Diagnostico
22
Esta variable genera un
archivo llamado domains.txt
donde relaciona el dominio
NetBIOS al dominio DNS
El User Service relaciona los
dominios NetBIOS con el
DNS al iniciar el servicio
Hechos
Websense User Service
– Debe estar vinculado a un dominio y solo una instancia del servicio por Policy Server
– Funciona con Directorio NTLM, Active Directory, Novell, Sun Java Directory Service
– Habilita el filtrado hacia Usuarios, Grupos y UO.
– Grupos de propiedad Universal son necesarios en ambientes multi-dominio.
– Cuenta Administrativa es necesaria para realizar sus funciones, ver KB2660 sobre la función NetUserGetGroups()
23
Hechos
DC Agent– Solamente se instala en Windows
– Cuenta Administrativa es necesaria para realizar sus funciones, ver KB2660 sobre la función NetSessionEnum()
– Sus archivos de configuración son el transid.ini, ignore.txt y dc_config.txt
– Si el ambiente de Websense es en español será necesario agregar servicio local y servicio de red, al archivo ignore.txt
Logon Agent– Solamente se instala en Windows
– Mejor practica es el uso de ambos “scripts” es lo correcto
– Mejor practica es el tener el ejecutable apuntando hacia un DC en un recurso compartido como \\SERVER\NETLOGON\
24
Hechos
Filtering Service
– Recibe su mapa de usuarios de ambos DC y Logon Agent
– Mantiene su mapa de usuarios por separado cuando la autenticación manual esta habilitada
– Diagnosticar el User Service si el filtrado a usuarios no funciona y ambos Filtrado y agente de identificación cuentan con un mapa.
Windows 2008
– A excepción de v7.1 y el Logon Agent; NO instalar v7.0 y v7.0.1 en Windows 2008
– Autenticación transparente en 2008 es 100% funcional solo en v7.1. Si su versión es v7.0.0 o 7.0.1 solamente funcionara con LogonAgent (aplicar hotfix 30 para v7.0.0 y 15 para v7.0.1)
– Actualmente Websense NO soporta autenticación NTLMv2
25
26
Nuestro tema en el Siguiente Webinar:
Webinar de Agosto 2009
User Identification Technologies within Websense Web Security v7.x
El 19 de Agosto del 2009 a las 8:30am(GMT -7:00, Hora oficial de verano del Pacifico )
Regístrese en la siguiente dirección: http://connect.websense.com/tsaugust2009webinar/event/event_info.html
Recursos de Soporte en Línea
Alertas técnicas
Subscríbase para recibir alertas sobre productos específicos de Websense queson enviadas automáticamente cada vez que Websense notifique de algúncambio, actualización, parches críticos, u otra información técnica relacionada
Base de Conocimientos La mayoría de nuestros clientes encuentran las soluciones a sus preguntas/problemas
técnicos relacionado a su versión al visitar nuestro portal técnico. Busque o naveguenuestra base de conocimientos sobre documentación, preguntas mas frecuentes y/osoluciones para su producto Websense.
Foros de Soporte Técnico
Regístrese a nuestra comunidad en línea para compartir sus preguntas u ofrecersoluciones con usuarios experimentados en Websense. Aquí nuestros clientescomparten sus experiencias en mejores practicas, implementación, instalación,configuración y otros tópicos de interés, Regístrese ya.
ask.websense.com
Genere y administre sus requisiciones técnicas en nuestro portal en línea.
28
Entrenamiento para Clientes y Programas de Certificación
Entrenamiento y Certificación en Centros autorizados por Websense
Vea que hay disponible en:– http://www.websense.com/training
Para obtener mas información sobre nuestros Programasde Certificación vea la siguiente dirección:– http://www.pearsonvue.com/websense
Localice a un Partner:– [email protected]
29
¿Preguntas?La siguiente parte del Webinar será el abrir un tiempo para preguntas y respuestas a la audiencia, esto con el fin de lograr responder el mayor numero de preguntas posible.
Respuestas a las preguntas enviadas serán publicadas en nuestro portal de internet en la sección del Support Webinar aproximadamente en una semana a partir de hoy.
Para ver las respuestas hacia sus preguntas, favor de visitar: http://www.websense.com/content/SupportWebinars.aspx