Configurando o UserAuth com AD e domínio

Pré-requisitos

Para que a integração do UseraAuth com o AD funcione corretamente deve-se tomar alguns cuidados principalmente referente ao logs. O AD deve estar gerando corretamente os eventos de ID 4624, 4634 e 4769, para verificar isso você deve acessar o Visualizador de Eventos do Windows, na aba segurança e pesquisar os eventos acima citados.

Também deve-se verificar se os serviços de logs do servidor estão rodando. Para isso basta acessar a tela de Serviços e verificar:

Adicionando configuração do AD

Agora vamos efetuar a configuração dos acessos através do Active Directory do Windows. Inicialmente ativamos o server de domínio, e verificamos suas configurações para poder atribui-lo nas configurações do UserAuth.

Agora vamos para a aba de domínios no UserAuth e vamos atribuir um.

Atribuímos então a configuração do nosso server de domínios no domínio do UserAuth.

Ativando metodo de autenticação com AD

E vamos na configuração do UserAuth e adicionamos a opção AD.

Verificando integração

Podemos verificar que já está comunicando com o server e o UserAuth através da aba logs, verificando que nenhum membro de cliente foi encontrado, e que o usuário Administrador já está logado.

Bloqueando Logs

Como o UserAuth efetuará uma busca no AD a cada 10 minutos, conforme nós configuramos, os logs de acesso do administrador tendem a se repetir, toda vez que a mesma é efetuada, dessa forma, nós podemos bloquear estes logs com a configuração na aba "Exception" adicionando o usuário no campo de "Ignore accounts".

Vamos remover os usuários dos grupos do E2guardian, para não ter problema com o AD.

Grupos dentro do AD

Criamos grupos e usuários dentro do AD.

Podemos verificar que os usuários já aparecem como encontrados nos logs do UserAuth.

Também na guia Active Session podemos verificar que os usuários já aparecem ativos e que o usuário admin criando anteriormente e o marcelloc estavam ainda ativos, visto que cada sessão dura 4 horas.

Desconectando Usuários

10.11 - Então vamos forçar a desconexão das sessões.

Fazendo logon dentro do dominio

Agora vamos forçar o logon da conta do Marcelloc no domínio.

Podemos verificar que assim que logado, dentro dos logs do UserAuth já aparece as informações de logon.

Também nas sessões ativas ele já trouxe a sessão de Marcelloc como ativa novamente.

Efetuando o teste de navegação podemos verificar que o mesmo continua navegando.

Na tabela de real time do E2Guardian, também podemos verificar que a conta já está sendo utilizada.

Aplicando aliases

Agora vamos duplicar a regra de acesso para avaliar trafego, antes configuramos um alias de portas para auxiliar.

Duplicamos a regra e configuramos como operação agora, dando acesso somente ao nosso alias web.

E duplicamos a regra novamente, liberando o trafego agora de ICMP, unicamente para verificarmos o trafego.

E então colocamos nossa máquina virtual para pingar e vamos analisar o trafego.

Testando acessos

Como meu perfil do AD está em ambos os grupos, está gerando trafego somente no suporte (por a regra estar por primeiro solicitando a utilização).

Mesmo com a regra liberando a conexão através do grupo suporte, os acessos são concedidos através da ordem de configuração do E2Guardian, validando somente o primeiro grupo configurado, nesse nosso caso o operacao, grupo mais limitado.

Como os nossos grupos estão sem o filtro de autenticação SSL liberado, verificamos que o site retorna em erro.

E tentando acessar um site sem certificação SSL, podemos perceber que ele retorna com a tela de bloqueio (por estar reconhecendo o grupo operação).

Ativando interceptação SSL

Agora vamos liberar o filtro SSL para o grupo.

E vamos liberar o acesso aos sites no e2guardian.

Tentando acessar o site com certificado, ele já solicita a instalação do certificado.

Agora podemos acessar o firewall para efetuar a liberação do certificado, este que podemos acessar agora da própria VM.

Liberado e baixado o mesmo, podemos importar para o browser.

Agora ele já reconheceu o certificado instalado e está indo para a tela de bloqueio.

Como possuímos somente o site da ConexTI® e as mídias sociais, podemos efetuar o teste, verificando que ele está acessando e gerando o certificado.