Vasco Kurulumu ve Active Directory Entegrasyonu Bu döküman içeriğinde, ayrı bir makina üzerinde Vasco kurulumu yapılacak, kurulum esnasında, data store olarak ODBC seçildikten sonra, ürün Active Directory ile entegre edilerek sorunsuz olarak çalıştığı test edilecektir. VASCO KURULUMU Bu dökümanın hazırlandığı tarihte Vasco tarafından yayınlanan en son versiyon IDENTIKEY_Server_3.4_WIN32.zip dir. Vasco nun kurulacağı makinanın domainde olduğu ve active directory ile sorunsuz olarak konuşabildiği varsayılmaktadır. İlk olarak, ilgili dosyayı Vasco nun sayfasından download ettikten sonra ilgili zip dosyasını açıyoruz ve dosya içerisinden çıkan autorun.exe dosyasını çalıştırıyoruz; Karşımıza çıkan ekrandan Install Identikey Server butonunu seçerek kuruluma başlıyoruz.
Karşımıza çıkan bir diğer ekran üzerinden next butonuna basarak kuruluma devam ediyoruz; Aşağıdaki ekranda advanced installation seçeneğini seçiyoruz; Bu aşamada Vasco bize, datastore olarak, Active Directory i mi yoksa kendi postgresql database ini mi(odbc) kullanmak istediğimizi soruyor;
Bu seçenek bizim için önemli. Active Directory seçeneğini eğer Vasco yu Active Directory üzerine kuruyorsak seçmemiz gerekiyor. Böyle bir durumda Vasco AD makinasındaki schema yı kendisine göre extend ediyor. Bir çok kurumda, AD makinasına bu tip bir kurulum yapılması tercih edilmediği için biz ayrı bir makina üzerine Vasco kurulumu yapıp daha sonra AD ile Vasco yu entegre edeceğiz. Dolayısıyla data store olarak ODBC Database seçeneğini işaretleyerek kurulumumuza devam ediyoruz; Aşağıdaki gibi kurulması gerekli olan tüm buton ları sırasıyla kurmamız gerekiyor; İlk olarak Identikey Server 3.4 seçeneğini kurmaya başlıyoruz.
Next seçeneğini işaretleyerek kuruluma devam ediyoruz. Identikey kurulumu tamamlanıyor ve SNMP component ını kurmaya başlıyoruz.
Net SNMP kurulumu tamamlandıktan sonra sırasıyla Embedded Postgresql ve Apache Tomcat kurulumlarını tamamlıyoruz ve Run configuration Wizard seçeneğini işaretliyoruz; Next i seçerek devam ediyoruz;
Vasco tarafında lisanslama ip adresine göre yapılmaktadır. Bu nedenle ilerleyen aşamalarda lisans çıkartılırken 10.1.1.103 ip sini kullanacağız. Next butonu ile devam ediyoruz. Ürün satın alındıktan sonra, Vasco tarafından bize iletilen Contract ID ve seri numarasını kullanarak http://www.vasco.com/registration web sitesini açıyoruz;
Bu site üzerinden, bize Vasco tarafından sağlanan contract id ve seri numarasını yukarıdaki ekrana girerek, lisanslama yapılması gereken ip adresini belirtip ilgili lisans dosyasını license.dat adı altında kendi bilgisayarımıza kaydediyoruz. Eğer herhangi bir ürün alınmadıysa ve eval lisans ile demo yapılmak isteniyorsa, ekranın en altındaki click here for an evaluation license butonunu seçiyoruz. Product Registation kısmından Identikey Server Registration seçeneğini seçip gizlilik sözleşmesini kabul ediyoruz. Lisanslanacak ürün bilgisi için Identikey seçeneğini işaretleyip, aşağıdaki gibi, name, company, ip ve component bilgilerini doldurup create an evaluation license butonuna basıyoruz;
Karşımıza çıkan ekrandan, ilgili license.dat dosyasını bilgisayarımıza kaydediyoruz. İlgili lisans dosyasını configuration wizard yardımı ile Vasco üzerine aktarıyoruz; Next butonuna basarak kuruluma devam ediyoruz; Karşımıza çıkan ekranda bizim için gerekli olan component ları seçiyoruz, bizim senaryomuza göre en alttaki iki component a ihtiyacımız olmadığı için onların yanındaki kurulsun seçeneğini kaldırıyoruz ve next butonu ile devam ediyoruz;
Vasco Web arayüzüne login olacağımız username ve password bilgilerini yazıyoruz;
SOAP sertifika şifremizi giriyoruz(bizim senaryomuzda gerekli olmayacak)
Eğer SNMPv3 kullanmayı planlıyorsak aşağıdaki ekran üzerinde security name, authentication Secret ve Privacy secret seçeneklerini doldurmamız gerekecek;
Bu aşamada herhangi bir SDK Client IP adresi girmemiz gerekmiyor, next tuşuna basarak devam ediyoruz; Son olarak yine next tuşuna basarak kurulumu tamamlıyoruz;
Kurulum tamamlandıktan sonra aşağıdaki şekilde Vasco arayüzüne erişebiliriz;
VASCO YAPILANDIRILMASI: Yazılıma web arayüzünden aşağıdaki gibi eriştikten sonra; İlk olarak kendimize uygun bir politika yaratıyoruz; (POLICIES->Create) Kendi yarattığımız politikayı Policies->List ten aşağıdaki gibi edit liyoruz;
Local Authentication seçeneğini (Digipass/Password olarak seçiyoruz). Yani kullanıcının authentication işlemini başarıyla tamamlayabilmesi için hem token tarafından üretilen şifreye hem de Active Directory üzerinde tanımlanmış olan şifreyi kullanarak sisteme login olmalı. BackEnd Authentication seçeneğini If Needed olarak seçiyoruz ki öncelikli olarak username sorgusu, Vasco üzerindeki ODBC üzerinde yapılsın, eğer orada uygun bir bilgi bulunamazsa back-end server olarak tanımlanacak sunucu üzerine sorgu gönderilsin. BackEnd Protocol seçeneğini Windows olarak seçiyoruz. Bu şekilde seçmemizin sebebi Back- End olarak Active Directory makinasını kullanacak olmamız. Politikamızın User sekmesini açıp aşağıdaki gibi editlememiz gerekiyor; Yukarıda seçilmiş olan ilk 3 seçenek bizler için önemli, bu seçenekleri aktif etmemizin nedeni, Vasco nun kendi ODBC database inde herhangi bir user tanımlı değilse ve kullanıcı sisteme login olmak istiyorsa, öncelikli olarak kendi username/password+otp_password ünü girmesi gerekiyor. İlk connection da bu bilgiler kendi database inde olmadığı için ve bu bilgileri AD ye soracağı için bu değerleri yes olarak değiştiriyoruz ki kullanıcı AD ye sorgu gönderip, ilk seferde başarılı bir şekilde login olduğunda, bu bilgiler Vasco nun kendi ODBC database inde tutulsun, ve biz AD de tanımlı olan kullanıcıya bir digipass atayabilelim. Bu bilgilere ek olarak, default domain, bulunduğumuz domain ne ise o şekilde belirtilmeli, aksi takdirde sorun yaşanıyor.
Bir diğer seçenek olan, user sekmesini tıkladığımız zaman aşağıdaki gibi bir pencere karşımıza çıkıyor; Yukarıdaki ayarlarda, bizim için Grace Period sekmesi önemli olacak. İlk aşamada kullanıcı, sisteme AD_Username/AD_Password+OTP ile bağlanması gerekecek. Fakat AD üzerinde çok fazla sayıda kullanıcı varsa eğer, bizim manual olarak her kullanıcıyı sisteme eklememiz bize çok fazla vakit kaybettirecektir. Dolayısıyla biz yukarıda bir süre belirtip(grace period) bu süre içinde ilgili AD kullanıcısının sisteme sadece ilk seferde AD_username+Ad_password ile bağlanmasını izin verebiliriz. Bu aşamadan sonra, kullanıcı eğer bizim set etmiş olduğumuz süre içerisinde eğer sisteme login olursa(örneğin 7 gün), bir sonraki login işleminde, kullanıcının AD_username+AD_password e ek olarak, otp şifresini girmesini isteyeceğiz. (Dolayısıyla, bu işlemi yaparak kullanıcıların username bilgilerini manual olarak sisteme girmekten kurtulmuş oluyoruz) Politikamızı yukarıdaki gibi tamamladıktan sonra, bir diğer sekme olan Clients sekmesini editlememiz gerekiyor; Burada tanımlı olan Policy ID yi bizim daha önce create ettiğimiz Vasco Policy ile değiştirmemiz gerekiyor; Daha sonra, bir diğer sekme olan BACK-END sekmesine gidiyoruz ve Register ActiveDirectory Back-End Seçeneğini seçerek AD bilgilerimizi buraya giriyoruz;
Daha sonra organizations sekmesini tıklayarak domain imizi tanımlıyoruz; Clients sekmesinde firewall tarafındaki radius ayarlarında tanımlamış olduğumuz secretkey in aynısını buraya da girmemiz gerekiyor;
Son olarak, Policies sekmesinden daha önce yaratmış olduğumuz politikayı editleyip, Radius sekmesi altındaki supported protocols seçeneğini any olarak değiştirebiliriz; Şu anda users sekmesine tıkladığımızda sadece kurulum esnasında tanımlamış olduğumuz admin kullanıcı bilgilerini görüyor olmamız gerekiyor;
Son aşamada artık Vasco nun AD makinası ile entegre bir şekilde çalışması gerekiyor. Senaryo gereği test ortamımızda bir CheckPoint firewall olduğunu varsayıyoruz. CheckPoint gateway e ssl vpn yapmak isteyen bir kullanıcı, kendi AD_username+AD_password ünü girecek, bu bilgileri CheckPoint gateway Vasco ya gönderecek, Vasco kendi üzerindeki database de bu bilgilerin olup olmadığını kontrol ettikten sonra, bu bilgileri back-end server olarak tanımlamış olduğumuz AD makinasına soracak, eğer girilmiş olan bilgiler doğru ise kullanıcı başarılı bir şekilde login olabilecektir. Bu işlemi test etmek için öncelikle Vasco kurulumu yapmış olduğumuz makina üzerine Radius Simulator tool unu kuruyoruz ve audit işlemlerini kontrol etmek için Vasco nun audit viewer tool unu açıyoruz; Radius işlemini simule etmek için, server ip kısmına Vasco kurulumu yaptığımız makinanın ip adresini, shared secret kısmına ise hem firewall tarafında hem de Vasco tarafında Radius authentication ı için girmiş olduğumuz shared secret bilgisinin aynısını giriyoruz. Yukarıda görülen sarı renkteki NAS portlarından herhangi birine rastgele tıkladığımızda aşağıdaki gibi bir ekran karşımıza çıkıyor;
Yukarıdaki kutucuklara AD de tanımlı olan ad_username ve ad_password bilgilerini giriyoruz ve login işlemini bu şekilde simule ediyoruz; Yukarıdaki status ekranında kullanıcının sorunsuz bir şekilde sisteme login olduğunu bu şekilde test etmiş oluyoruz. Artık users sekmesini tıkladığımızda otomatik olarak AD kullanıcı bilgisinin Vasco database ine eklendiğini görebiliriz(dynamic User Registration); Bu şekilde AD üzerinde kaç kullanıcı tanımlıysa(örneğin 500) Vasco database ine ilk login işlemi esnasında otomatik olarak bu username bilgileri kaydedilecektir. Bundan sonraki aşamada, öncelikli olarak elimizdeki digipass leri sisteme import edip, bu token ları Digipass sekmesinde sorunsuz olarak gördükten sonra, user sekmesine eklenen her kullanıcıya elimizdeki token ları sorunsuz bir şekilde atayıp;
Bir sonraki login işleminde AD_username, AD_password+OTP_password kombinasyonu ile sorunsuz bir şekilde kullanıcıların sisteme login olduklarını gözlemleyebiliriz.