没错,这又是一篇开荒好帖
在一个经常有业务人员出差的公司,如何对员工的上网行为做管控和审计,成了公司管理人员的大难题
然后 这边推荐了 本地AC加SASE AC的审计方案,在公司内部用本地AC进行审计,在公司外部使用sase ac进行审计
方案没问题,理论上可以实现,但是真正实施起来的时候就会遇到各种坑
最近,有幸开荒了一把,完成了两个AC对接,排了一波雷,现在 做一下经验分享
此处应该有掌声
特别提示:
本地AC一定要网桥或者网关部署,这点很重要 原因后面具体描述
坑点一
用户同步
用户创建在本地AC上,因为出差的人员毕竟是少数。然后本地AC进行账号密码认证,这个没问题
问题是 sase ac上的用户怎么办,可以导出本地的AC用户列表,然后上传到sase ac上
这样就会有 离职人员 新入职人员的账号不同步,或者密码两个ac 不一致,经常让管理员忙着改密码
有点low
不卖关子,直接上方案,在sase ac上 其实是可以配置数据源的
数据源支持LDAP,但是只支持 ms ldap
AC可以开放LDAP接口,但是是open LDAP
MS LDAP是对接微软的域控,可以在内网搭建一个域控制器,然后本地AC和sase ac都对接到上面
虽然是解决办法,但是 本地域控 出问题以后,谁来维护呢
这个方法不可取
然后 sase平台上 不知道什么时候出来一个 IDAAS(去年还没有)
sase ac 用户源可以对接 IDAAS
然后IDAAS可以对接 OPEN LDAP
然后本地AC提供open ldap 接口
idaas和 本地AC 通过在内网搭建一个linux 服务器,然后安装连接工具,云端和内网服务器建立隧道,直接从内网获取ldap信息,安装部署 稍后附上 用户手册
具体LDAP对接时候配置的参数:
拿走先点赞,都是血与汗
最终实现的效果,AC目录传递给idaas,idaas目录传递给sase ac
本地ac目录
IDAAS目录
SASE AC 目录
最后在sase ac上配置认证策略,启用这个open ldap认证
坑点二
用户在内网走内网AC,在外网走外网AC,这是一个避免重复审计的必要条件
如何配置 如下:
在sase ac上面选择客户端配置
在客户端配置上 或者配置信任IP段,或者配置信任AC
原理是这样,本地电脑检测,如果你在信任IP段的IP地址内,就会认为你是在公司的内网,但是这样有个前提,就是你公司的内网 最好不要是太常见的IP内网段,比如你公司内网是192.168.1.0或者192.168.0.0,这个段太容易冲突了,你的员工在外面出差,接入别的wifi很有可能他获取的IP地址也是这个段的,导致认为你是在公司内部,然后不进行引流
信任AC
我问专家的这个配置意思是,如果发现你的终端能ping通你配置的AC地址,就认为你在内网,但是我交付的这个真实环境,AC是旁路部署的,可以ping通,不过,并不能通过pingAC地址切换到公司内部,怀疑是AC必须是网桥部署才能实现 没环境没法测试,严重怀疑
测试一下效果
公司内部接入时候
公司外接入时候
坑点三:
上网策略对接,
这个没有坑,不支持策略同步,也没有什么本地云端做主主。
手动配置,唯一解
坑点四:
统一的审计
如果要查询用户的审计,那么本地在本地查,云端在云端查,略微有些麻烦
既然用户都同步了,那么日志也可以收到一起
SASE AC 也是有外置数据中心的
可以把内网的外置数据中心映射到互联网上,统一对接两个AC的日志
坑点五:
还未解决的深坑
PS:经过后期测试,怎样也无法实现准入客户端的切换,暂时不支持本地AC和sase ac同时接入准入客户端的情况
由于我的AC是旁路部署的,准入插件的切换是我还没解决的问题,这也是为什么AC一定要网桥部署的原因
安装sase客户端的时候会自动安装准入插件,在公网接入是没问题的,但是切换到内网以后,就解除了引流模式,准入插件进入到了一个自动找网关的状态
如果流量经过内网的AC ,按道理准入客户端可以自动在本地AC进行上线 从而达到内外网准入插件的切换
(没验证,纯理论,纯猜)
但是目前我是旁路部署的,可以确定的是,从互联网切回内网以后,准入客户端无法接入旁路的AC
下一步看看能不能通过AIO来解决