如何使用User-ID

fmeng — Tue, 17 Jan 2023 02:20:42 GMT

决议
我的防火墙还能做什么？识别用户。

让我们仔细看看有哪些选项可以通过用户的用户名来识别用户，以及可以用这些信息做什么。我们将查看User-ID客户端的配置，并将其与无客户端部署进行比较，设置俘虏式门户，并准备在安全策略中使用组映==射。

准备Windows

在你开始工作之前，请下载用户识别代理。它可以在Support Portal网站的软件更新下找到。下载完安装程序后，我们建议将其安装在你的活动目录服务器上，但如果你喜欢使用不同的服务器，这并不是严格的要求。由于Windows服务器上的UAC（用户访问控制）设置，我们建议以管理员身份运行安装程序。用 "以管理员身份运行 "选项打开一个命令提示符，导航到包含安装程序文件的文件夹，并从命令行中执行安装程序。

安装过程完成后，从开始菜单中打开User-ID Agent，进入设置。点击编辑，开始配置User-ID代理。

你需要配置的第一件事是该服务将以何种用户名运行。确保该账户至少被授予以下权限（不正确/不完整的权限可能导致 "启动服务失败，错误1069 "的错误信息），请按照这篇文章一步一步地设置用户权限。How to Install User-ID Agent and Prevent 'Start service failed with error 1069'

-事件日志阅读者（在Windows 2003中审计和管理安全日志）

-服务器操作员（以服务形式运行）
-DCOM用户（用于WMI探测）

如果这有点混乱，请暂时将账户设置为管理员。

代理人接收到的登录_成功和Auth_ticket_granted/renew事件如下所示

admin guide

-Windows Server 2003-所需事件的事件ID是672（验证票授予）、673（服务票授予）和674（票授予更新）。
-Windows Server 2008/2012（包括R2）或MS Exchange--所需事件的事件ID是4768（验证票授予）、4769（服务票授予）、4770（票授予更新）和4624（登录成功）。

最后，在ActiveDirectory准备列表中，确保启用成功的审计，以便在AD日志中捕获登录事件。

User-ID代理的配置

现在让我们来配置UID代理。如果你还没有专门的用户，请将用户设置为管理员，这可以在以后更改，当你对设置感到满意并有时间阅读进一步的建议时。配置的第一个标签将让你设置用户名。

下一个标签将有读取日志的频率。这将设置代理要轮询事件日志的频率，并寻找成功的登录事件，将源IP及其相关的用户账户添加到用户-IP列表中。在大多数情况下，推荐使用1秒的默认设置。

可以启用服务器会话来监控客户与服务器的连接。当大多数客户在AD上有一个驱动器映射，用来验证一个用户账户是否仍在登录并连接到其共享。

客户端探测选项(Client Probing)让你控制是否以及如何定期探测客户机，以查看一个账户是否仍在登录中。这些探测将能够在机器登录到本地账户或突然从网络中删除用户-ip映射。然而，需要进行一些规划，因为目标机器确实需要支持这些探针。由于防火墙策略导致的探测失败，或者如果客户没有授权wmi到User-ID代理账户，将导致用户-ip映射也被删除。如果你不确定你的客户是否能够支持探测，请暂时禁用这两个探测。

缓存选项(Cache)允许对用户-IP映射中的条目设置一个超时时间。特别是当探测功能被禁用时，这很有价值，因为它允许你删除 "陈旧 "的用户-IP映射。如果检测到一个ActiveDirectory成功的日志事件，超时就会被刷新。

在一个相当静态的办公环境中，把这个超时设置为600分钟以上是安全的，因为默认的kerberos用户票的寿命是10小时。在一个有许多用户共享工作站的非常动态的环境中，将超时设置为一个较短的时间可能更有利。

代理服务标签允许你改变服务对传入防火墙连接的默认监听端口。

我们现在先不谈eDirectory和syslog标签，继续点击ok选项。你会看到你刚刚创建的配置的摘要和访问控制列表，你可以设置它来限制哪些IP地址或子网可以连接到User-ID代理。继续并提交新的User-ID代理配置。

通过回到代理的主页面，快速确保服务正在运行。（Agent is running)

如果代理还没有启动，你可以从这里手动启动它点Start，或者停止 Stop。

接下来，我们将配置代理要连接的ActiveDirectory服务器，以收集用户活动的信息。打开 "发现 "页面，点击 "自动发现"，这将通过使用本地机器信息来填充可用的服务器列表。其他服务器可以手动添加。如果一个服务器是多宿主，必要时可以删除多余的条目。

包括/排除（Include/Exclude)列表允许你控制哪些子网应该或不应该被监测到用户登录事件。

监控页面现在应该开始填入新的用户-IP映射。当User-ID代理第一次启动时，它将通过ActiveDirectory的最后50.000个日志条目，然后每秒钟监测新的条目。根据一天中的时间和你的服务器上的事件日志的聊天情况，可能需要一段时间才能在列表中填入可靠的活动IP地址数据库（在部署安全策略时考虑到这一点）。

现在代理已经准备好了，打开防火墙GUI。在设备选项卡中，在用户识别中，可以使用我们在用户识别代理中使用的相同参数配置无客户端部署。这在一个较小的环境中或当访问ActiveDirectory不允许安装一个软件时，可能非常有用。我们不建议在大型环境中使用无客户端部署，因为这可能会导致大量的开销。

为了连接到已安装的User-ID代理，我们需要跳到下一个标签，添加一个新的User-ID代理。

为代理分配一个名称以方便识别，设置其IP和我们在代理配置的 "代理服务 "标签中配置的端口。只有当不同的防火墙被用作收集点，并且该防火墙需要从该防火墙收集信息时，才应使用收集器。如果Captive portal被配置为支持浏览器中的NTLM认证，则至少需要设置一个代理来充当代理。现在启用这个选项，因为一旦我们配置了Captive Portal，我将向你展示如何设置NTLM。

下一步是为需要 UserID 的区域启用 User Identification。不建议为面向互联网的区域启用该功能，除非用户识别ACL被设置为只为该区域的特定子网执行用户识别。如果没有设置，防火墙将查询User-ID代理，了解连接到防火墙外部接口的每个IP地址的信息。

前往 "网络 "标签，打开 "区域"，打开 "信任区"，并启用 "用户识别"。

在所有需要的区域都被启用后，提交配置。提交完成后，流量日志将开始显示用户信息。

强制门户认证 (Captive Portal)

对于任何不能通过传统的活动目录事件日志方式发现的用户，可以建立一个俘虏式门户系统，在这个系统中，浏览会话被拦截，用户的浏览器通过NTLM查询凭证信息，或者向用户提供一个网页表格，让用户输入用户名和密码。

由于用户可能会被重定向到一个请求认证的门户页面，最佳的用户体验是拥有一个整个组织都信任的证书，所以如果有一个证书颁发机构可以创建一个服务器证书，这将使浏览器在用户被重定向时不会弹出错误信息。如果没有本地CA，可以生成一个自签名的证书并手动导入到客户端，以改善用户体验。

前往 "Device "选项，生成一个新的自签名证书或导入一个组织证书。我把我的证书创建为一个证书颁发机构，但这并不是严格意义上的必要。作为通用名称，我设置了我的接口的IP地址，因为我将使用它作为重定向IP，但如果你有一个内部DNS服务器，你可以设置一个FQDN，如captiveportal.mycompany.com，并在重定向中使用它。

接下来，你需要创建一个SSL/TLS服务配置文件，以便能够使用该证书作为俘虏式门户的服务器证书。选择你希望门户支持的TLS的最小和最大版本。

在我们配置强制门户认证之前，还有一个步骤是启用认证。转到LDAP服务器配置文件，为活动目录服务器创建一个新的LDAP配置文件。

然后创建一个认证配置文件。请确保为你的环境适当地设置登录属性。对于活动目录，这通常是 "sAMAccountName"。

在 "高级 "选项中，你可以限制允许认证的用户组，但现在，我们要将其设置为 "所有"。

接下来，强制门户认证。

你要启用重定向模式，因为这将把用户重定向到防火墙界面上的一个登陆页面。这将允许在上一步创建的证书向用户展示一个适当的浏览器体验。如果不启用转接模式，防火墙将冒充原始目标URL，调用HTTP 401认证请求。然而，由于这种认证的内联性质，客户端将不会得到适当的证书，并将始终得到一个证书错误。

-设置SSL/TLS服务配置文件设置为Captive Portal证书。
-设置认证配置文件设置为ldap认证配置文件。
-设置重定向主机设置为防火墙的接口IP。如前所述，这可以是一个解析到IP的FQDN，并在证书中设置为通用名称。
为了使重定向发挥作用，该接口需要启用响应页。这些可以通过接口管理配置文件来启用。在入门系列的Layer3部分中，我们介绍了添加接口管理配置文件以允许ping--我们可以编辑该配置文件以允许响应页。

最后一步是创建Captive Portal策略。创建一个策略，动作设置为浏览器挑战，并在下面创建第二个策略，使用web-form动作。浏览器挑战策略将尝试对浏览器进行NTLM兼容认证。如果失败，第二个策略将向用户提供一个Web表单，让他们填写用户名和密码。

组图(Group Mapping)

由于你已经创建了一个LDAP配置文件，一个额外的步骤将允许从活动目录中收集组信息。然后，这些组信息可以用来创建安全策略，根据用户账户和组成员资格允许或拒绝用户。

在 "用户识别 "的 "设备 "选项卡上，进入 "group mapping"设置 "并创建一个新的配置文件。将服务器配置文件设置为LDAP配置文件，将用户域设置为NetBios域。

更新间隔默认为3600秒（60分钟）。如果你的用户经常在不同的组之间更换，减少这个时间间隔可能是有益的。在 "包括组 "列表中，你可以专门选择哪些组来检索到防火墙。

在你选择了你要使用的组之后，提交配置。提交完成后，这些组将在安全策略用户字段中可用。

现在你可以根据用户组建立安全策略。

CLI命令

有几个CLI命令可以派上用场，以验证所有用户的身份是否正确，组的信息是否准确。

show user group name <groupname> 来查看组的成员

> show user group name "cn=domain users,cn=users,dc=example,dc=com" 

short name:  example.com\domain users

source type: ldap
source:      groupmapping

[1     ] example.com\administrator
[2     ] example.com\astark
[3     ] example.com\bstark
[4     ] example.com\cgrimes
[5     ] example.com\dtargaryen
[6     ] example.com\jlannister
[7     ] example.com\jsnow
[8     ] example.com\lgrimes
[9     ] example.com\rgrimes
[10    ] example.com\tlannister
[11    ] example.com\varys

show user group-mapping state all 查看组映射配置文件的状态，以及刷新/最后一次刷新前的时间。

> show user group-mapping state all


Group Mapping(vsys1, type: active-directory): groupmapping 
        Bind DN    : administrator@example.com
        Base       : DC=example,DC=com
        Group Filter: (None)
        User Filter: (None)
        Servers    : configured 1 servers
                10.192.16.98(389)
                        Last Action Time: 3418 secs ago(took 0 secs)
                        Next Action Time: In 182 secs
        Number of Groups: 3
        cn=it staff,cn=users,dc=example,dc=com
        cn=human resources,cn=users,dc=example,dc=com
        cn=domain users,cn=users,dc=example,dc=com

show user ip-user-mapping all 查看所有当前识别的活跃用户以及他们是如何被识别的。

> show user ip-user-mapping all

IP              Vsys   From    User                             IdleTimeout(s) MaxTimeout(s)
--------------- ------ ------- -------------------------------- -------------- -------------
10.0.0.188      vsys1  UIA     example\rgrimes                   1304           1304         
10.0.0.29       vsys1  CP      example\administrator             561            2593         
Total: 2 users

> show user ip-user-mapping all type 
  AD        Active Directory
  CP        Captive Portal
  EDIR      eDirectory
  GP        Global Protect
  SSO       SSO
  SYSLOG    Syslog
  UIA       User-ID Agent
  UNKNOWN   Unknown
  XMLAPI    XML API

article 如何使用User-ID in 配置和实施

如何使用User-ID