kier 发表于 2023-5-10 15:49
  
楼主分享的案例很实用,具有典型性,希望有更多这样的干货供我们学习参考,非常感谢!
lingling 发表于 2023-9-16 11:32
  

每天学习一点点,每天进步一点点。
        
新手719320 发表于 2023-10-31 13:57
  
每天学习一点新知识,谢谢分享
talent 发表于 2024-2-8 11:56
  
每天学习一点新知识,谢谢分享
新手370587 发表于 2024-7-20 10:45
  
每天坚持打卡学习签到!!
火影忍者 发表于 2024-8-12 09:31
  
打卡学习,感谢大佬分享!
不想上班 发表于 2024-10-23 09:34
  
感谢分享,学习一下~
【天逸出品】【第卅七期】SASE-AC对接本地AC,让审计无死角
  

常鸿 1226515人觉得有帮助

{{ttag.title}}
本帖最后由 常鸿 于 2022-11-15 10:39 编辑

大家双十一快乐  



过节当然要拿出点真技术

没错,这又是一篇开荒好帖


在一个经常有业务人员出差的公司,如何对员工的上网行为做管控和审计,成了公司管理人员的大难题
然后 这边推荐了  本地AC加SASE AC的审计方案,在公司内部用本地AC进行审计,在公司外部使用sase ac进行审计

方案没问题,理论上可以实现,但是真正实施起来的时候就会遇到各种坑
最近,有幸开荒了一把,完成了两个AC对接,排了一波雷,现在 做一下经验分享
此处应该有掌声

特别提示:
本地AC一定要网桥或者网关部署,这点很重要  原因后面具体描述

坑点一

用户同步

用户创建在本地AC上,因为出差的人员毕竟是少数。然后本地AC进行账号密码认证,这个没问题
问题是 sase ac上的用户怎么办,可以导出本地的AC用户列表,然后上传到sase ac上
这样就会有 离职人员 新入职人员的账号不同步,或者密码两个ac 不一致,经常让管理员忙着改密码
有点low

不卖关子,直接上方案,在sase ac上 其实是可以配置数据源的

数据源支持LDAP,但是只支持 ms ldap

AC可以开放LDAP接口,但是是open LDAP
MS LDAP是对接微软的域控,可以在内网搭建一个域控制器,然后本地AC和sase ac都对接到上面
虽然是解决办法,但是 本地域控 出问题以后,谁来维护呢
这个方法不可取

然后  sase平台上 不知道什么时候出来一个 IDAAS(去年还没有)



sase ac 用户源可以对接 IDAAS

然后IDAAS可以对接 OPEN LDAP


然后本地AC提供open ldap 接口

idaas和 本地AC 通过在内网搭建一个linux 服务器,然后安装连接工具,云端和内网服务器建立隧道,直接从内网获取ldap信息,安装部署  稍后附上 用户手册
具体LDAP对接时候配置的参数:

拿走先点赞,都是血与汗


最终实现的效果,AC目录传递给idaas,idaas目录传递给sase ac
本地ac目录
IDAAS目录
SASE AC 目录

最后在sase ac上配置认证策略,启用这个open ldap认证


坑点二

用户在内网走内网AC,在外网走外网AC,这是一个避免重复审计的必要条件
如何配置 如下:


在sase ac上面选择客户端配置

在客户端配置上  或者配置信任IP段,或者配置信任AC
原理是这样,本地电脑检测,如果你在信任IP段的IP地址内,就会认为你是在公司的内网,但是这样有个前提,就是你公司的内网 最好不要是太常见的IP内网段,比如你公司内网是192.168.1.0或者192.168.0.0,这个段太容易冲突了,你的员工在外面出差,接入别的wifi很有可能他获取的IP地址也是这个段的,导致认为你是在公司内部,然后不进行引流

信任AC
我问专家的这个配置意思是,如果发现你的终端能ping通你配置的AC地址,就认为你在内网,但是我交付的这个真实环境,AC是旁路部署的,可以ping通,不过,并不能通过pingAC地址切换到公司内部,怀疑是AC必须是网桥部署才能实现  没环境没法测试,严重怀疑

测试一下效果
安装完SASE AC的客户端后,本地电脑输入 https://127.0.0.1:30001
公司内部接入时候
公司外接入时候

坑点三:

上网策略对接,
这个没有坑,不支持策略同步,也没有什么本地云端做主主。
手动配置,唯一解

坑点四:

统一的审计
如果要查询用户的审计,那么本地在本地查,云端在云端查,略微有些麻烦
既然用户都同步了,那么日志也可以收到一起

SASE AC 也是有外置数据中心的
可以把内网的外置数据中心映射到互联网上,统一对接两个AC的日志

坑点五:
还未解决的深坑

PS:经过后期测试,怎样也无法实现准入客户端的切换,暂时不支持本地AC和sase ac同时接入准入客户端的情况

由于我的AC是旁路部署的,准入插件的切换是我还没解决的问题,这也是为什么AC一定要网桥部署的原因

安装sase客户端的时候会自动安装准入插件,在公网接入是没问题的,但是切换到内网以后,就解除了引流模式,准入插件进入到了一个自动找网关的状态

如果流量经过内网的AC ,按道理准入客户端可以自动在本地AC进行上线 从而达到内外网准入插件的切换
(没验证,纯理论,纯猜)

但是目前我是旁路部署的,可以确定的是,从互联网切回内网以后,准入客户端无法接入旁路的AC
下一步看看能不能通过AIO来解决



深信服IDaaS用户手册_V2.1.3.pdf

6.15 MB, 下载次数: 17

打赏鼓励作者,期待更多好文!

打赏
88人已打赏

发表新帖
热门标签
全部标签>
西北区每日一问
技术盲盒
安全效果
技术笔记
【 社区to talk】
每日一问
干货满满
新版本体验
产品连连看
GIF动图学习
技术咨询
2023技术争霸赛专题
功能体验
通用技术
秒懂零信任
安装部署配置
原创分享
技术晨报
自助服务平台操作指引
每周精选
标准化排查
排障笔记本
玩转零信任
深信服技术支持平台
POC测试案例
信服课堂视频
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
产品预警公告
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
排障那些事
高手请过招
升级&主动服务
高频问题集锦
社区新周刊
全能先锋系列
云化安全能力

本版版主

147
113
49

发帖

粉丝

关注

121
315
351

发帖

粉丝

关注

7
20
6

发帖

粉丝

关注

5
7
7

发帖

粉丝

关注

本版达人

新手89785...

本周建议达人

七嘴八舌bar

本周分享达人

新手76619...

本周提问达人