20T21 Google LDAP i WiFi
W tym odcinku pokazuję jak połączyć Google LDAP i system Radius do autoryzacji w dostępie do WiFi.
Chcesz więcej informacji?
Dołącz do naszej strony fanów na Facebook:
Więcej miejsc do posłuchania:
Transkrypcja filmu:
0:00:01.420,0:00:03.380
Cześć, witam Cię dzisiaj.
0:00:03.380,0:00:06.540
Jeżeli jesteś ciekawy jak można podłączyć
0:00:06.540,0:00:09.380
Google Cloud, a konkretniej usługę LDAP
0:00:09.800,0:00:13.300
z infrastrukturą klasyczną w przypadku.
0:00:13.580,0:00:15.680
który dzisiaj będę omawiał,
0:00:15.680,0:00:18.580
to będzie infrastruktura Wi-Fi
0:00:18.580,0:00:21.320
czyli system radius, zintegrowany
0:00:21.320,0:00:24.600
z secure LDAP-em w formie Google Cloud.
Google LDAP i WiFi
0:00:24.600,0:00:27.635
Zacznijmy od scenariusza. Jaki mamy przypadek
0:00:27.640,0:00:30.720
naszego projektu do zrealizowania.
0:00:30.720,0:00:32.365
Po pierwsze mamy
0:00:32.365,0:00:35.375
Google G Suite Secure LDAP,
0:00:35.480,0:00:38.660
czyli mamy w chmurze LDAP-a,
0:00:38.820,0:00:40.980
który jest używany już
0:00:40.980,0:00:42.640
przez użytkowników.
0:00:43.120,0:00:45.540
Kolejny element to jest
0:00:45.540,0:00:48.600
wykorzystanie radiusa do połączeń
0:00:49.415,0:00:52.635
z siecią Wi-Fi, ale w formie TLS.
0:00:52.635,0:00:55.435
Czyli z wykorzystaniem certyfikatów.
0:00:55.600,0:00:58.760
No i wszystko musimy ze sobą zintegrować,
0:00:58.760,0:01:02.320
tak żeby radius, rozmawiając z kontrolerem bezprzewodowym ,
0:01:02.320,0:01:05.220
odpytując w usłudze Googla
0:01:05.220,0:01:08.860
był w stanie nam przyznać właściwy poziom dostępu.
0:01:08.860,0:01:10.880
Jak wygląda nasze środowisko.
0:01:10.880,0:01:13.600
Czyli mamy jakąś lokalizację,
0:01:13.625,0:01:16.595
w której mamy Wi-Fi, w której będziemy mieli
0:01:16.600,0:01:20.100
radiusa, będziemy mieli lokalnie kontroler bezprzewodowy
0:01:20.100,0:01:22.555
i przez Internet łączymy się
0:01:22.560,0:01:26.520
do LDAP-a w formie usługi chmurowej.
0:01:26.560,0:01:28.600
Jeżeli chodzi o proces
0:01:28.600,0:01:31.520
podłączenia się tych klientów, to miałoby to zadziałać tak.
0:01:31.520,0:01:34.200
Klient w dostępie bezprzewodowym
0:01:34.280,0:01:37.340
certyfikatem próbuje się uwierzytelnić do sieci Wi-Fi.
0:01:37.340,0:01:40.780
Tutaj ruch jest tunelowany do kontrolera
0:01:40.980,0:01:44.360
a następnie kontroler odpytuje radiusa
0:01:44.360,0:01:47.160
i radius sprawdza
0:01:47.420,0:01:51.780
poprzez Internet, z LDAP-em w usłudze Googla
0:01:52.160,0:01:55.140
jaki poziom uprawnień ma
0:01:55.140,0:01:58.820
dany użytkownik. Ta informacja jest zwracana do radiusa.
0:01:59.640,0:02:04.760
A radius odpowiada odpowiednimi parametrami do
0:02:05.260,0:02:07.380
kontrolera bezprzewodowego.
0:02:07.380,0:02:10.080
I ten kontroler przyznaje nam
0:02:10.080,0:02:14.180
odpowiedni poziom dostępu , czyli WLAN, access listę.
0:02:14.300,0:02:17.540
W przypadku niektórych rozwiązań bezprzewodowych
0:02:17.840,0:02:21.720
jest to połączone w profilu, w roli,
0:02:21.720,0:02:24.100
jakby to dany producent nie nazywał.
0:02:24.100,0:02:26.760
I teraz co zrobić, żeby
0:02:26.880,0:02:30.340
zintegrować radiusa z tym LDAP-em.
0:02:30.340,0:02:32.340
Czyli teraz pokażę kilka kroków,
0:02:32.340,0:02:34.720
które jest potrzebne do konfiguracji
0:02:35.980,0:02:39.240
tej integracji pomiędzy radiusem w lokalizacji
0:02:39.300,0:02:42.620
a secure LDAP-em, który jest w chmurze.
0:02:44.920,0:02:47.985
Jeżeli sobie popatrzymy na to w jaki sposób możemy
0:02:47.985,0:02:50.880
zarządzać usługą Google LDAP,
0:02:51.140,0:02:54.000
no to mamy tutaj panel administracyjny Googla
0:02:54.320,0:02:57.980
i jedną z usług, które możemy wybrać to jest właśnie LDAP.
0:02:57.980,0:03:00.615
Czyli wybieramy sobie z katalogu usług, które mamy
0:03:00.620,0:03:02.580
usługę LDAP-ową.
0:03:02.880,0:03:06.900
Kolejnym krokiem jest przyznanie odpowiednich
0:03:06.900,0:03:08.880
poziomów uprawnień,
0:03:08.880,0:03:11.640
czyli mamy tutaj dwie takie sekcje.
0:03:11.640,0:03:14.600
Pierwsza jest taka, że możemy ustawić
0:03:15.020,0:03:17.920
do jakiej części naszej domeny lub organizacji
0:03:18.140,0:03:20.420
lub podorganizacji
0:03:20.420,0:03:24.420
ma umiejętność czytania ten dany użytkownik.
0:03:24.740,0:03:27.060
A drugi poziom, to jest
0:03:27.060,0:03:31.880
do jakich części organizacji można się uwierzytelnić,
0:03:31.880,0:03:35.240
wykorzystując właśnie tą integrację.
0:03:35.240,0:03:40.000
Czyli jeżeli podłączymy sobie naszego radiusa systemem LDAP, to
0:03:40.000,0:03:42.895
do czego ten nasz radius będzie mógł
0:03:42.895,0:03:45.065
mieć dostęp w ramach całej
0:03:45.100,0:03:48.960
domeny LDAP-owej, której Google udostępnia.
0:03:48.960,0:03:50.680
Te dwie rzeczy wybieramy.
0:03:50.760,0:03:54.620
Możemy sobie tutaj zobaczyć jakie mamy poddomeny,
0:03:55.020,0:03:57.120
które możemy sobie wybrać.
0:03:57.120,0:04:00.500
A kolejnym krokiem jest stworzenie
0:04:00.660,0:04:03.680
certyfikatu, generacja certyfikatu
0:04:03.680,0:04:06.760
dla konkretnego połączenia, czyli
0:04:06.800,0:04:08.820
w ramach usługi Googlowej
0:04:08.940,0:04:11.000
mamy możliwość
0:04:11.000,0:04:16.140
wygenerowania indywidualnego certyfikatu per każde rozwiązanie.
0:04:16.140,0:04:17.520
W naszym przypadku akurat
0:04:17.520,0:04:21.460
chcemy skonfigurować system radius do komunikacji z LDAP-em,
0:04:21.580,0:04:24.280
ale mogą to być inne systemy, często chmurowe
0:04:24.280,0:04:27.195
do zarządzania różnymi elementami
0:04:27.200,0:04:30.980
w oparciu o tą samą bazę użytkowników.
0:04:30.980,0:04:33.660
W związku z tym, generujemy sobie ten certyfikat.
0:04:33.660,0:04:35.800
On będzie potrzebny
0:04:35.800,0:04:38.360
do dalszych kroków konfiguracji.
0:04:38.360,0:04:40.880
Dodatkowo, jeżeli używamy
0:04:40.880,0:04:43.780
niektórych implementacji systemu radius.
0:04:43.780,0:04:49.880
Ja akurat tutaj przykład pokazuję w oparciu o radius clearpass w wersji Aruba.
0:04:50.260,0:04:53.920
Żeby podłączyć to rozwiązanie radiusowe trzeba jeszcze
0:04:54.060,0:04:56.400
podać użytkownika i hasło
0:04:56.400,0:05:01.600
i tego użytkownika i hasło generujemy indywidualnie również dla każdego systemu,
0:05:01.600,0:05:02.900
który podłączamy.
0:05:02.900,0:05:08.120
Teraz kilka kroków, jak to po stronie systemu radius powinno wyglądać.
0:05:08.300,0:05:11.660
Czyli, pierwszym elementem, który powinniśmy dodać
0:05:11.660,0:05:14.280
po stronie systemu radius, to jest
0:05:14.400,0:05:18.600
zaufany certyfikat, żeby system radius mógł
0:05:18.600,0:05:20.725
połączyć się w sposób zaufany,
0:05:20.725,0:05:23.535
czyli żeby od strony radiusa było zaufanie
0:05:23.540,0:05:27.320
dla danego systemu LDAP-owego,
0:05:27.320,0:05:32.720
czyli w tym przypadku certyfikat Googla tu dodajemy do zaufanych certyfikatów.
0:05:33.400,0:05:36.480
Kolejnym krokiem jest konfiguracja SAML-a.
0:05:36.520,0:05:40.040
Czyli w tym przykładzie pokazuję, że można skonfigurować
0:05:40.040,0:05:42.495
integrację pomiędzy systemem radius
0:05:42.500,0:05:44.920
a LDAP-em Googlowym
0:05:44.920,0:05:48.760
poprzez SAML-a, czyl wpisujemy wygenerowany URL.
0:05:48.760,0:05:52.760
Ten URL też w konfiguracji Googla
0:05:52.840,0:05:56.840
z konsoli administracyjnej kopiujemy, a następnie
0:05:57.180,0:06:01.100
w kolejnym kroku zaznaczamy do jakich modułów
0:06:01.440,0:06:06.280
wewnętrznych clearpassa ma mieć dostęp ta integracja.
0:06:06.580,0:06:09.580
Czyli mamy możliwość wskazania, że
0:06:09.660,0:06:13.180
z tego konkretnego LDAP-a będzie mógł korzystać dany moduł.
0:06:13.200,0:06:16.800
To, co my chcemy zrobić w scenariuszu, dzisiaj pokazywanym,
0:06:17.020,0:06:20.155
to chcemy dostęp Wi-Fi uzależnić
0:06:20.160,0:06:22.040
od LDAP-a Googlowego.
0:06:22.040,0:06:25.820
W związku z tym, potrzebujemy jakiś sposób wygenerowania certyfikatów
0:06:25.820,0:06:27.540
i ich dystrybucji.
0:06:27.540,0:06:31.280
O tym jeszcze powiem na koniec dzisiejszego odcinka.
0:06:31.360,0:06:35.140
Natomiast w tym kroku decydujemy, które z komponentów clearpassa
0:06:35.140,0:06:38.460
będą miały dostęp do tej właśnie integracji,
0:06:38.460,0:06:42.600
którą teraz konfigurujemy z Google LDAP.
0:06:42.920,0:06:47.155
Kolejnym krokiem konfiguracji jest możliwość
0:06:47.155,0:06:50.635
przydzielenia danego typu roli do
0:06:50.945,0:06:53.655
konkretnego parametru – atrybutu,
0:06:53.660,0:06:55.720
który ściągamy z LDAP-a.
0:06:55.720,0:06:59.160
W tym przykładzie, który tutaj jest pokazany mapujemy sobie
0:06:59.420,0:07:02.860
atrybut, który jest ściągany z Googlowego LDAP-a.
0:07:02.980,0:07:06.300
Jest to atrybut departament i wiążemy go
0:07:06.620,0:07:12.040
z atrybutem roli, czyli ta rola to jest atrybut wewnętrzny radiusa.
0:07:12.260,0:07:15.720
Jeżeli sczytujemy sobie z SSO, czyli w tym przypadku
0:07:16.045,0:07:18.915
z LDAP-a Googlowego, że departament,
0:07:18.915,0:07:21.875
jeżeli jest równy studentowi, to nazwę
0:07:22.245,0:07:25.145
roli, czyli taka wewnętrzna rola w clearpassie,
0:07:25.145,0:07:29.020
do tego, żeby ułatwiać sobie konfigurację i debugging,
0:07:29.020,0:07:30.880
przypisujemy mu rolę student.
0:07:30.880,0:07:34.040
Jeżeli to jest pracownik, to przypisujemy mu
0:07:34.260,0:07:37.620
rolę pracownik. Z tej roli jeszcze nic nie wynika.
0:07:37.700,0:07:41.060
To jest na razie wewnętrzne mapowanie na poziomie radiusa
0:07:41.140,0:07:45.220
i będziemy za chwilę przechodzić do wykorzystywania tego mapowania.
0:07:45.220,0:07:47.400
Czyli kolejnym krokiem
0:07:47.400,0:07:48.760
jest zakładka enforcement.
0:07:49.200,0:07:53.520
Czyli po stronie radiusa konfigurujemy jakie atrybuty
0:07:53.520,0:07:55.320
będzie wysyłał
0:07:55.325,0:07:58.205
radius, w tym przypadku clearpass,
0:07:58.205,0:07:59.515
do urządzenia końcowego.
0:07:59.845,0:08:02.895
Naszym urządzeniem końcowym w tym scenariuszu, przypomnę jest
0:08:02.895,0:08:05.735
kontroler sieci bezprzewodowej, do którego
0:08:05.740,0:08:08.320
podłączone są punkty dostępowe
0:08:08.320,0:08:10.680
i poprzez który to, kontroler
0:08:10.680,0:08:13.820
uwierzytelniani są użytkownicy. W związku z tym,
0:08:13.900,0:08:16.580
chcemy, żeby system radiusowy,
0:08:16.580,0:08:21.040
jeżeli ma wewnętrzną rolę, którą przed chwilą mapowaliśmy – student,
0:08:21.360,0:08:24.140
to żeby wysłał takie atrybuty ,
0:08:24.140,0:08:26.995
pokazane przez radiusa.
0:08:27.000,0:08:31.440
Przyjrzyjmy się jakie atrybuty są tutaj wysyłane, w tym przykładzie.
0:08:31.460,0:08:33.120
Jeżeli to jest student,
0:08:33.300,0:08:36.440
no to zezwalamy na dostęp
0:08:36.580,0:08:39.440
do sieci – to jest jeden atrybut.
0:08:39.440,0:08:43.820
Co więcej, zezwalamy na podłączenie urządzeń
0:08:43.820,0:08:45.780
za pomocą certyfikatu
0:08:45.780,0:08:50.060
na trzy miesiące. Czyli założeniem tego scenariusza jest to, że
0:08:50.300,0:08:53.860
student, jak przychodzi na uczelnię i chce sobie swój
0:08:53.860,0:08:56.375
telefon/tablet zarejestrować, to my mu
0:08:56.380,0:09:02.880
pozwalamy, ale mówimy – musisz go co trzy miesiące ponownie rejestrować.
0:09:02.880,0:09:05.165
Czyli jak minie 3 miesiące, to my wyłączymy
0:09:05.165,0:09:08.395
dostęp do sieci dla tego konkretnego urządzenia.
0:09:08.400,0:09:12.060
Więc to jest te 3 miesiące, które jest używane.
0:09:12.060,0:09:15.160
Co więcej, ograniczamy temu studentowi
0:09:15.160,0:09:18.440
możliwość rejestracji urządzeń
0:09:18.440,0:09:20.235
maksymalnie do trzech.
0:09:20.235,0:09:23.725
Spójrzcie tutaj, jeżeli chodzi o pracownika.
0:09:24.335,0:09:27.725
Jakie pracownik ma profile, czyli to jest poziom linijki niżej.
0:09:28.035,0:09:31.235
Czyli tutaj dla pracownika mamy tylko
0:09:31.280,0:09:34.000
2 atrybuty. Pierwszy to jest
0:09:34.000,0:09:37.740
zezwolenie na proces onboardowy.
0:09:37.900,0:09:40.935
Czyli to jest zezwolenie na
0:09:40.935,0:09:43.205
możliwość rejestracji urządzenia
0:09:43.560,0:09:46.700
do naszej sieci bezprzewodowej.
0:09:46.700,0:09:49.155
Czyli możliwość wygenerowania certyfikatu
0:09:49.160,0:09:53.320
i zainstalowania tego certyfikatu na urządzeniu końcowym.
0:09:53.320,0:09:56.180
A kolejny atrybut, to jest
0:09:56.180,0:09:58.740
określenie, że dany użytkownik
0:09:58.740,0:10:02.280
może zainstalować maksymalnie 5 urządzeń.
0:10:02.280,0:10:05.800
Czyli mamy inną politykę dla studenta i inną politykę
0:10:05.800,0:10:07.675
dla pracownika.
0:10:07.680,0:10:11.240
Na koniec warto jeszcze sobie 2 słowa powiedzieć o certyfikatach.
0:10:11.240,0:10:13.475
Ponieważ nie jest możliwe
0:10:13.480,0:10:15.780
uwierzytelnienie bezpośrednio
0:10:15.780,0:10:19.760
w LDAP-owej usłudze Googla za pomocą TLS-a,
0:10:19.760,0:10:22.140
nie ma wsparcia dla tej metody.
0:10:22.140,0:10:25.660
W związku z tym jest do wyboru
0:10:25.820,0:10:27.700
w zasadzie 2 główne scenariusze.
0:10:27.700,0:10:31.800
Najbardziej bezpieczny scenariusz jest taki, że wykorzystujemy
0:10:32.020,0:10:35.180
TLS-a, czyli uwierzytelnienie za pomocą certyfikatów
0:10:35.180,0:10:37.200
do sieci Wi-Fi.
0:10:37.200,0:10:41.040
Ale żeby to zrobić i zrobić to w skali, czyli mamy załóżmy tutaj tą
0:10:41.180,0:10:44.340
uczelnię, która została w tym przykładzie pokazana,
0:10:44.340,0:10:48.460
to jeżeli mamy na przykład 100, 600, 1000 studentów,
0:10:48.460,0:10:50.300
no to potrzebujemy narzędzia,
0:10:50.460,0:10:53.860
które w sposób automatyczny będzie generowało te certyfikaty
0:10:53.860,0:10:56.500
i będzie instalowało na urządzeniu końcowym.
0:10:56.500,0:10:58.960
Jak zrobić w takim razie
0:10:59.240,0:11:01.140
tego typu automat.
0:11:01.140,0:11:04.460
W przykładzie, który pokazuję korzystamy z takiego modułu onboard
0:11:04.680,0:11:07.760
specjalnie przygotowanego modułu w systemie radiusowym,
0:11:08.000,0:11:11.640
który automatyzuje proces generowania certyfikatów.
0:11:11.640,0:11:15.260
Robi to za pomocą wbudowanego urzędu
0:11:15.260,0:11:18.360
certyfikacji. Może to być zintegrowane
0:11:18.360,0:11:20.895
z już istniejącym lub może to być zupełnie
0:11:20.895,0:11:23.345
niezależne centrum certyfikacji
0:11:23.345,0:11:25.240
wewnętrznej klienta.
0:11:25.240,0:11:28.680
Natomiast pozwala ono na generowanie certyfikatów
0:11:28.680,0:11:31.280
per dane indywidualne urządzenia,
0:11:31.280,0:11:34.120
Co więcej, nie tylko generujemy ten certyfikat,
0:11:34.260,0:11:37.520
ale również go instalujemy, czyli żeby
0:11:37.560,0:11:40.580
automatycznie taki telefon czy laptop mógł się podłączyć
0:11:40.680,0:11:43.020
do sieci Wi-Fi za pomocą certyfikatu
0:11:43.020,0:11:45.520
potrzebujemy wpisać odpowiedni profil
0:11:45.520,0:11:48.520
i moduł onboardowy w clearpassie dokładnie
0:11:48.740,0:11:51.560
to nam zapewnia. Czyli oprócz generowania certyfikatu,
0:11:51.560,0:11:54.600
generuje profil, który jest instalowany na urządzeniu końcowym
0:11:54.920,0:11:58.440
a następnie wskazuje, że dany konkretny certyfikat
0:11:58.580,0:12:02.040
będzie używany do połączenia z tym konkretnym SSID.
0:12:02.120,0:12:04.860
I teraz, jeżeli urządzenie końcowe znajdzie się w zasięgu
0:12:04.860,0:12:08.620
tej sieci bezprzewodowej, jest automatycznie podłączone
0:12:08.620,0:12:10.380
do sieci Wi-Fi.
0:12:10.620,0:12:13.140
A pod spodem mamy radiusa, który
0:12:13.140,0:12:15.580
jest synchronizowany za pomocą SAML-a
0:12:15.580,0:12:18.900
z Google LDAP-em, czyli ściąga sobie te różne parametry
0:12:19.100,0:12:21.220
związane z grupami, z departamentem,
0:12:21.220,0:12:24.220
różne atrybuty, które mamy w tym LDAP-ie zawarte
0:12:24.540,0:12:27.600
a potrafimy je wykorzystać na poziomie
0:12:27.600,0:12:30.400
enforcementu, czyli tego przypisania poziomu
0:12:30.400,0:12:32.440
uprawnień do sieci bezprzewodowej
0:12:32.440,0:12:35.460
Tak dużym skrócie cały ten proces powinien zadziałać
0:12:35.700,0:12:39.740
i każdy taki element chmurowy , który jest dla nas
0:12:39.740,0:12:42.680
jakimś centrum identyfikacji użytkowników
0:12:42.685,0:12:45.645
po prostu powinien być zintegrowany z naszym
0:12:45.645,0:12:48.535
systemem radiusowym, który najczęściej jest
0:12:48.740,0:12:52.900
lokalnie w naszej sieci firmowej, uczelnianej,
0:12:52.900,0:12:56.120
gdzieś gdzie mamy tą naszą infrastrukturę.
0:12:56.620,0:13:00.720
Jeżeli masz jakieś pytania do tego tematu, to pisz w komentarzu.
0:13:00.720,0:13:03.215
Jeżeli masz jakiś inny scenariusz ciekawy do omówienia,
0:13:03.220,0:13:05.400
to też również zachęcam.
0:13:05.400,0:13:09.220
Ten temat, o którym dzisiaj powiedziałem też do mnie został
0:13:09.260,0:13:12.275
zgłoszony przez jednego z partnerów
0:13:12.275,0:13:15.295
i to są ciekawe przypadki, które
0:13:15.300,0:13:19.040
pokazywać warto ze względu na to, że nasza branża się zmienia
0:13:19.040,0:13:22.420
i co raz więcej tych systemów chmurowych się pojawia,
0:13:22.420,0:13:24.140
więc dzielenia się wiedzą
0:13:24.140,0:13:27.200
jak podłączyć w nowym modelu
0:13:27.200,0:13:30.840
jest jak najbardziej ciekawe dla wielu z nas.
0:13:30.840,0:13:33.180
Więc dziękuję Ci za uwagę
0:13:33.180,0:13:35.380
i do usłyszenia w kolejnym odcinku.
%MCEPASTEBIN%
