Exemple de configuration ZyWALL USG
Transcription
Exemple de configuration ZyWALL USG
Konfigurationsbeispiel ZyWALL USG Zywall USG und User Awareness über ZyXEL OTP (One Time Password) Ziel dieser Anleitung ist es, den Internet-Zugang benutzerbasierend zu regeln. Wer über den Web-Browser (http) ins Internet gelangen will, muss sich vorher auf der Zywall USG authentifizieren. Dieses Beispiel beschränkt sich auf den Web-Zugriff. Der Mail-Verkehr funktioniert weiterhin ohne vorherige Authentifizierung. Für die Benutzeridentifikation wird ZyXEL OTP Authentication Radius Server benutzt. ZyXEL OTP-Server Konfiguration Nach der Installation des ZyXEL OTP-Servers haben Sie über den Link http://localhost:8080/asas Zugriff auf die Administrationsseiten: admin+ESN Master Schlüssel NAS-Eintrag erstellen (Netzwerk-Anschluss-Service, in diesem Falle die IP der USG): Studerus AG, Ringstr. 1, 8603 Schwerzenbach, www.studerus.ch September 2008 / ATA / Seite 1 von 7 Konfigurationsbeispiel ZyWALL USG Über das Menü Add/Edit Goups die Gruppe radius erstellen und alle Resourcen erlauben (Allowed): Im Menü Add User einen Benutzer ssl-user erstellen: Die Gruppe radius zu den ausgewählten Gruppen hinzufügen (Selected) und die Ressource USG freigeben (Allowed), dann auf Update User klicken: Studerus AG, Ringstr. 1, 8603 Schwerzenbach, www.studerus.ch September 2008 / ATA / Seite 2 von 7 Konfigurationsbeispiel ZyWALL USG Mit Assign dem Benutzer ssl-user einen Schlüssel (Key, z.B. 73100718) zuweisen: Über Menü Search A-Keys, den Schlüssel des Benutzers ssl-user editieren: Bestimmen Sie den OTP-Pin (entspricht dem Password auf USG-Login, 4 bis 24 Zeichen alphanumerisch): Um die Einstellungen zu übernehmen, muss der Authenex Radius Server neu gestartet werden: Studerus AG, Ringstr. 1, 8603 Schwerzenbach, www.studerus.ch September 2008 / ATA / Seite 3 von 7 Konfigurationsbeispiel ZyWALL USG ZyXEL USG-Konfiguration Über Object > AAA Server > RADIUS unter Host die IP (192.168.1.2) des ZyXEL OTP-Servers und den Athentication Port auf 1812 festlegen. Key (Passwort für Kommunikation mit Authenex Server) eintragen und Timeout auf 99 setzen. Über Objekt > Authentication Method > Radius die Regel default editieren und über [+] eine zweite Position die Gruppe Radius 'group radius' einfügen. Studerus AG, Ringstr. 1, 8603 Schwerzenbach, www.studerus.ch September 2008 / ATA / Seite 4 von 7 Konfigurationsbeispiel ZyWALL USG Im Menü Object > User/Group > Setting werden die Standard-Einstellungen der Benutzer definiert. Damit sich ein User nicht mehrmals über die USG authentifizieren kann, limitieren wir die maximale Anzahl gleichzeitiger Anmeldungen auf 1. Nach dem Speichern der Konfiguration, wird über das Plus-Symbol eine neue Benutzerregel erstellt: So erstellen Sie eine User Policy, bei der die Authentifizierung aus dem LAN erzwungen wird: Studerus AG, Ringstr. 1, 8603 Schwerzenbach, www.studerus.ch September 2008 / ATA / Seite 5 von 7 Konfigurationsbeispiel ZyWALL USG Die Konfiguration der USG ist somit abgeschlossen. Ab sofort muss sich ein Benutzer der sich in der LANZone befindet, beim ersten Web-Zugriff authentifizieren. Beim Öffnen des Browsers erscheint dazu das Login-Fenster der USG. Voraussetzung dafür ist, dass die Zywall USG der Standart-Gateway des PCs ist. Geben Sie gemäss Ihrer Konfiguration die Benutzerdaten ein und klicken Sie auf Login: User Name: Der im Asas-Server definierte Benutzername Password: Der zum Token definierte PIN One-Time Password: Die aktuell im Token sichtbare Nummer (6 Ziffern) Nachdem man sich erfolgreich authentifiziert hat, erscheint ein Popup-Fenster, welches anzeigt, wie viel Zeit bis zu einer erzwungenen Neuanmeldung verbleibt. Dieses Fenster kann nur angezeigt werden, wenn keinen Popup-Blocker aktiv ist. Beachten Sie entsprechende Warnungen Ihres Browsers. Studerus AG, Ringstr. 1, 8603 Schwerzenbach, www.studerus.ch September 2008 / ATA / Seite 6 von 7 Konfigurationsbeispiel ZyWALL USG Um die aktuell authentifizierten Benutzer aufzulisten, klicken Sie auf der Statusseite auf die Benutzerliste: Mit der Funktion Force Logout kann der Administrator der USG einen Benutzer manuell trennen. Studerus AG, Ringstr. 1, 8603 Schwerzenbach, www.studerus.ch September 2008 / ATA / Seite 7 von 7