web security | data security | email security © 2009 Websense, Inc. All rights reserved.

Configure Websense v7 con su Servicio de

Directorio y agentes de identificación

transparente

Información sobre el Webinar

Bienvenidos al Webinar de soporte de Websense

– Tema: “Configure Websense v7 con su servicio de directorio y agentes de identificación transparente”

Información para escuchar la presentación:

– Este Webinar ofrecerá streaming de audio

– Si su conexión esta causando que el audio se escuche entrecortado, un

numero limitado de líneas telefónicas internacionales sin costo estarán disponibles siguiendo la liga:

– http://www.websense.com/July29_Webinar_International

2

Agenda – ¿Que aprenderemos hoy?

Configure la comunicación entre Websense y su servicio de directorio en:

– Windows NT Directory / Active Directory (modo mixto)

– Windows Active Directory (modo nativo)

Información técnica vital para configurar su servicio de directorio en Websense

¿Cómo prever errores de filtrado al hacer cambios en el servicio de directorio?

Mejores prácticas de implementación y configuración

Técnicas para comprobar y/o diagnosticar el filtrado correcto de objetos de directorio.

3

Índice

Aprenda como Websense funciona con su servicio de directorio

– Preinstalación

– Funcionalidad de filtrado a objetos de directorio

– Orden de filtrado

Windows NT/Active Directory(modo mixto)

Windows Active Directory (modo nativo)

– Configuración avanzada

– Dominios, arboles, y bosques múltiples

– Mejores practicas

Técnicas de diagnostico hacia directorio de servicios

– Depuración de servicios: User Service, DC agent, LogonAgent

4

5

Presentador

Titulo: Analista Técnico de Websense

Educación / Certificaciones:Asociado en Sistemas/Redes

Diplomado en Sistemas de Computación

WCSE y otras.

Entrenamientos/Habilidades: Academia de Cisco

Responsable técnico de CALA

entre otros.

Para mas información:www.websense.com/support/

David Valenzuela

6

¿De que forma realiza Websense el filtrado de Grupos y Usuarios?

El servicio Websense User Service es el componente que habilita el filtrado hacia Usuario, Grupo y/o UO

Consulta al servicio de directorio por medio de peticiones LDAP para así obtener la asociación de objetos

Despliega los objetos de Directorio en el Websense Manager.

La aplicación de políticas a objetos de directorio sigue el siguiente ordenamiento lógico:– Usuario

– Equipo (numero IP)

– Equipos (rango de IP’s)

– Grupo• Cuando un usuario pertenece a grupos múltiples, por defecto la

política menos restrictiva aplica.

– UO

– Dominio

– Política Predeterminada• La política global actúa como una regla final en un firewall

• Aplica cuando no haya alguna otra política aplicada a dicho tráfico

7

Orden de filtrado

Antes de la Instalación y configuración

El Servicio Websense User Service se puede instalar en Linux o en Microsoft Windows .– Solo una instancia del User Service por cada Policy Server.

– Cada Policy Server soporta un tipo de servicio de directorio.

Para identificar a los usuarios de forma transparente:– Implemente un agente de identificación transparente (DC Agent,

Logon Agent.).

– Configure su integración a que envié la autenticación hacia Websense

Agentes de Identificación transparente (Windows):– DC Agent

– Logon Agent

8

Mas información sobre esto…

Base de Conocimientos de Websense

– http://kb.websense.com

– Guías:

• Instalación KB: 3672

• Implementación KB: 3526

• Ayuda del Websense Manager KBA: 3648

9

Demostración de Active Directory

10

Estructura configurada para esta presentación:

Windows NT / Active Directory (Modo Mixto)

Configuración habilitada después de instalar Websense

El Servicio de Usuarios se comunica al Directorio vía NTLM

NetBIOS se usa para obtener la información de sesión en el formato: dominio\usuario.

DC Agent, y Logon Agent pueden ser usados para identificar a los usuarios de forma transparente.

No hay configuración habilitada en el Websense Manager a realizar si el servicio esta instalado en Windows.

11

Demo: Directorio Windows NT / Active Directory(Modo Mixto)

1. Revisar la configuración en el Websense Manager.

2. Verificar la cuenta administrativa configurada al servicio Websense User Service.

3. Navegar el árbol del Directorio por medio del Websense Manager.

12

Windows Active Directory (Modo Nativo)

Accede al Directorio usando consultas LDAP

Construye la estructura y árbol del directorio usando la ruta proporcionada por la consulta LDAP

– ldap://host:port/DN?attributes?scope?filter?extensions

En la configuración la comunicación puede ser a:

– Controladores de Dominio

– Catalogo Global

– Nombre DNS del Dominio• Mydominio.net | mydominio.local

DC Agent y el Logon Agent pueden ser usados para identificar a los usuarios de forma transparente.

13

Demo: Windows Active Directory

1. Configuración de la Política predeterminada para evitar filtrado incorrecto durante la transición a modo nativo.

2. Remover la cuenta administrativa usada en el servicio(si aplica)..

3. Dentro de Configuración>Servicios de Directorio en el Websense Manager:a. Identifique a su catalogo global, controlador de dominio o

Nombre DNS de dominio (nombre o numero IP).

b. Configure el puerto (3268 esta por defecto).

c. Identifique el contexto de ruta.

d. Configure la cuenta Administrativa (debido a las consultas que realiza al AD se necesita una cuenta con privilegios de Administrador de Dominio).

e. Configuración Avanzada si es necesaria.

14

Demo: Windows Active Directory

4. Verificar que se puedan agregar objetos de Directorio..

5. Técnicas de diagnostico

6. Mejores practicas

15

Identifique el catalogo global del dominio primario(use el puerto 3268).

Identifique un controlador de dominio por cada dominio secundario:– No tienen que tener la propiedad de Catalogo Global.

– Use el puerto 389.

Ambiente con Dominios Múltiples

16

Ambiente con Dominios Múltiples

Un Contexto root es necesario para identificar a cada dominio de forma única.

Una cuenta administrativa por Dominio es necesaria.

Para evitar filtrado erróneo:

– Los nombres de usuario deberán ser únicos en cada dominio.

– Si no lo son, podemos usar el parámetro UserDomainMap=on

– Agregue grupos Universales NO Globales, véase KBA 4101.

17

Filtrado hacia usuarios no funciona

– Configuración de los agentes de identificación transparente

– DC Agent y Logon Agent; confirmar que haya un mapa de usuarios

Técnicas de Diagnostico

18

Técnicas de Diagnostico

DC agent y sus archivos de configuración, dc_config.txt y el transid.ini

LogonAgent, modo “Verbose” y ejecutar de forma local

19

User Service

– Configuración y comunicación hacia GC, DC, Dominio(s)

Técnicas de Diagnostico

20

Haciendo un telnet hacia su

controlador de dominio en el

puerto 389 o 3268 usted podrá

confirmar que hay comunicación.

– ¿ Filtrado a grupos no funciona? Ejecutar DSTrace dentro del Websense.ini

Técnicas de Diagnostico

21

La captura DSTrace nos muestra la estructura de la

petición al directorio de servicios por parte del User

Service. De esta forma podremos analizar si

Websense encuentra o no a dichos usuarios al

igual podremos saber si la consulta hacia el

directorio es correcta…

Ambiente de dominios múltiples (DomainMap=on)

La variable se habilita

en el websense.ini

Técnicas de Diagnostico

22

Esta variable genera un

archivo llamado domains.txt

donde relaciona el dominio

NetBIOS al dominio DNS

El User Service relaciona los

dominios NetBIOS con el

DNS al iniciar el servicio

Hechos

Websense User Service

– Debe estar vinculado a un dominio y solo una instancia del servicio por Policy Server

– Funciona con Directorio NTLM, Active Directory, Novell, Sun Java Directory Service

– Habilita el filtrado hacia Usuarios, Grupos y UO.

– Grupos de propiedad Universal son necesarios en ambientes multi-dominio.

– Cuenta Administrativa es necesaria para realizar sus funciones, ver KB2660 sobre la función NetUserGetGroups()

23

Hechos

DC Agent– Solamente se instala en Windows

– Cuenta Administrativa es necesaria para realizar sus funciones, ver KB2660 sobre la función NetSessionEnum()

– Sus archivos de configuración son el transid.ini, ignore.txt y dc_config.txt

– Si el ambiente de Websense es en español será necesario agregar servicio local y servicio de red, al archivo ignore.txt

Logon Agent– Solamente se instala en Windows

– Mejor practica es el uso de ambos “scripts” es lo correcto

– Mejor practica es el tener el ejecutable apuntando hacia un DC en un recurso compartido como \\SERVER\NETLOGON\

24

Hechos

Filtering Service

– Recibe su mapa de usuarios de ambos DC y Logon Agent

– Mantiene su mapa de usuarios por separado cuando la autenticación manual esta habilitada

– Diagnosticar el User Service si el filtrado a usuarios no funciona y ambos Filtrado y agente de identificación cuentan con un mapa.

Windows 2008

– A excepción de v7.1 y el Logon Agent; NO instalar v7.0 y v7.0.1 en Windows 2008

– Autenticación transparente en 2008 es 100% funcional solo en v7.1. Si su versión es v7.0.0 o 7.0.1 solamente funcionara con LogonAgent (aplicar hotfix 30 para v7.0.0 y 15 para v7.0.1)

– Actualmente Websense NO soporta autenticación NTLMv2

25

26

Nuestro tema en el Siguiente Webinar:

Webinar de Agosto 2009

User Identification Technologies within Websense Web Security v7.x

El 19 de Agosto del 2009 a las 8:30am(GMT -7:00, Hora oficial de verano del Pacifico )

Regístrese en la siguiente dirección: http://connect.websense.com/tsaugust2009webinar/event/event_info.html

Recursos de Soporte en Línea

Alertas técnicas

Subscríbase para recibir alertas sobre productos específicos de Websense queson enviadas automáticamente cada vez que Websense notifique de algúncambio, actualización, parches críticos, u otra información técnica relacionada

Base de Conocimientos La mayoría de nuestros clientes encuentran las soluciones a sus preguntas/problemas

técnicos relacionado a su versión al visitar nuestro portal técnico. Busque o naveguenuestra base de conocimientos sobre documentación, preguntas mas frecuentes y/osoluciones para su producto Websense.

Foros de Soporte Técnico

Regístrese a nuestra comunidad en línea para compartir sus preguntas u ofrecersoluciones con usuarios experimentados en Websense. Aquí nuestros clientescomparten sus experiencias en mejores practicas, implementación, instalación,configuración y otros tópicos de interés, Regístrese ya.

ask.websense.com

Genere y administre sus requisiciones técnicas en nuestro portal en línea.

28

Entrenamiento para Clientes y Programas de Certificación

Entrenamiento y Certificación en Centros autorizados por Websense

Vea que hay disponible en:– http://www.websense.com/training

Para obtener mas información sobre nuestros Programasde Certificación vea la siguiente dirección:– http://www.pearsonvue.com/websense

Localice a un Partner:– partner-cala@websense.com

29

¿Preguntas?La siguiente parte del Webinar será el abrir un tiempo para preguntas y respuestas a la audiencia, esto con el fin de lograr responder el mayor numero de preguntas posible.

Respuestas a las preguntas enviadas serán publicadas en nuestro portal de internet en la sección del Support Webinar aproximadamente en una semana a partir de hoy.

Para ver las respuestas hacia sus preguntas, favor de visitar: http://www.websense.com/content/SupportWebinars.aspx