Perkenalan
Ini adalah Bagian 1 dari rangkaian blog yang terdiri dari 2 bagian. Dalam posting ini, kita akan membahas tentang pengaturan RSA SecurID Authentication Manager, beberapa asumsi arsitektur, dan apa yang perlu Anda bawa ke Bagian 2.
Otentikasi Dua Faktor
Autentikasi dua faktor (2FA) kini sudah menjadi hal yang umum. Bagi Anda yang masih hidup di Zaman Kegelapan, di mana Anda menuliskan kata sandi pada Post-It Note yang ditempel di bagian bawah papan ketik, 2FA adalah “sesuatu yang Anda miliki”, seperti token perangkat keras atau perangkat lunak, dan “sesuatu yang Anda ketahui” yang merupakan PIN rahasia.
Secara pribadi, saya memiliki banyak sekali login yang memanfaatkan 2FA. Salah satunya adalah token RSA SecurID yang dikeluarkan oleh VMware. Token ini berbasis perangkat lunak di ponsel saya. Hampir semua token 2FA saya yang lain adalah token Google Authenticator yang dikelola menggunakan aplikasi pengelola kata sandi saya. 2FA telah menjadi bentuk keamanan identitas yang lebih baik. Nama pengguna dan kata sandi tidak lagi cukup baik, jadi kami melakukan sesuatu untuk mengatasinya.
Ini adalah implementasi pertama SecurID untuk vSphere, jadi ada beberapa peringatan dan masalah pengaturan. Artikel blog ini akan membantu mendokumentasikannya. Saya berharap ini adalah opsi yang populer sehingga kita dapat mencurahkan lebih banyak waktu dan sumber daya untuk membuat proses pengaturan dan administrasi menjadi lebih baik ke depannya. ANDA adalah bagian dari itu. Masukan Anda sangat penting!
Saya sudah ditanya " Apakah ini akan berfungsi dengan semua jenis 2FA atau hanya RSA SecurID? ". vCenter mendukung dua jenis 2FA dalam Pembaruan 6.0 2. SecurID dan Smartcard. Untuk artikel blog ini, saya hanya membahas SecurID. SecurID digunakan di sebagian besar pelanggan VMware dan merupakan upaya pertama yang wajar dalam mengimplementasikan 2FA untuk vCenter. Autentikasi Smartcard akan dibahas dalam artikel blog mendatang.
Asumsi Arsitektur
Saya tidak dapat membahas setiap permutasi tentang bagaimana Anda ingin mengonfigurasi lingkungan Anda, jadi saya akan menggunakan sesuatu yang sederhana yang mencakup sejumlah besar lingkungan pembaca.
Apa yang saya uji dengan:
- RSA Authentication Manager (AuthMan) 8.1 Pembaruan 1 Patch 12 terinstal dan dikonfigurasi
- Satu vCenter yang berjalan pada VCSA 6.0 Pembaruan 2
- Pengontrol Layanan Satu Platform (PSC) yang menjalankan Pembaruan 6.0 2
- PSC bersifat eksternal. Saya belum mengujinya dengan PSC tertanam. Saya sangat menyarankan untuk beralih ke topologi PSC berbasis eksternal. Anda dapat beralih dari tertanam ke eksternal dengan sangat mudah dengan mengikuti artikel blog hebat ini dari Ryan Johnson .
Dalam contoh yang akan saya gunakan, PSC akan memiliki 3 Sumber Identitas yang dikonfigurasi
- OS Lokal
- SSO – vsphere.lokal
- Direktori Aktif – demo.vmware.com
RSA Authentication Manager juga akan memiliki Active Directory sebagai Sumber Identitas. Active Directory akan menjadi Sumber Identitas umum antara VMware dan RSA.
Konfigurasikan Manajer Autentikasi RSA
Catatan: Saya tidak akan membahas secara rinci setiap tugas. Ada asumsi yang masuk akal bahwa Anda tahu cara melakukan tugas seperti menetapkan token dan mengonfigurasi "sesuatu" di AuthMan. Yang akan saya bahas secara rinci adalah hal-hal yang spesifik untuk mengonfigurasi vCenter/PSC dengan AuthMan. Bagus, mari kita mulai!
Hal pertama yang ingin kita konfigurasikan pada AuthMan adalah Sumber Identitas. Seperti yang disebutkan, kita akan menggunakan sumber identitas umum untuk PSC dan Authman, yaitu domain Direktori Aktif “ demo.vmware.com ”
Setelah Identity Source, kita akan mengonfigurasi Authentication Agent. Authentication Agent adalah sumber daya yang ingin Anda lindungi, seperti situs web, VPN, atau vCenter.
Ketika saya menyiapkan AuthMan, saya ingin menguji untuk memastikan semuanya berhasil disiapkan. Jadi, sebelum saya menyentuh PSC, saya memasang RSA Agent untuk Microsoft IIS pada VM Windows Server dan mengaktifkan SecurID pada situs web default yang dihosting oleh IIS. Setelah mengikuti petunjuk dalam dokumen RSA Agent untuk IIS, saya berhasil mengautentikasi dengan SecurID. Hebat, sekarang saya tahu bahwa saya memiliki solusi SecurID yang berfungsi. Masalah apa pun di masa mendatang, jika ada, seharusnya bukan karena AuthMan tidak berfungsi. Hore, pemecahan masalah dasar!
Sumber Identitas
Sebelum mengonfigurasi Sumber Identitas, Anda memerlukan sertifikat digital yang mengamankan komunikasi antara AuthMan dan AD melalui LDAPS.
Ada artikel bagus yang memandu Anda langkah demi langkah yang saya gunakan untuk melakukan ini. Setelah sertifikat Anda terpasang, kini Anda dapat mengonfigurasi Sumber Identitas.
Untuk mengonfigurasi Sumber Identitas, Anda akan masuk ke antarmuka web Operasi RSA AuthMan dan pilih Tambahkan Sumber Identitas Baru.
Tidak seperti PSC tempat Anda dapat menggunakan Integrated Windows Authentication atau otentikasi LDAP, AuthMan hanya berfungsi dengan LDAPS sehingga Anda perlu mengetahui semua DN dasar dan informasi lainnya. Dalam contoh saya, saya memiliki pengaturan berikut:
Nama Sumber Identitas: mgt-dc-1.demo.VMware.com
Saya menggunakan nama pengontrol domain saya tetapi Anda dapat menggunakan nama lain yang lebih deskriptif jika Anda mau
- Anda perlu mengingatnya nanti dalam pengaturan saat kita mengonfigurasi PSC.
URL Direktori: ldaps://mgt-dc-1.demo.vmware.com
ID Pengguna Direktori: CN=Administrator,CN=Users,DC=demo,DC=vmware,DC=com
- Anda mungkin ingin membuat akun layanan di domain Anda untuk fungsi ini.
- Selalu pikirkan tentang “hak istimewa paling rendah”!!
Kata Sandi Direktori: kata sandi untuk akun layanan. Dalam contoh ini, kata sandi untuk akun Administrator@demo.vmware.com
Klik Uji Koneksi untuk melihat apakah berhasil.
Sekarang klik pada tab Peta sebelum mengklik Simpan . Anda perlu mengubah beberapa hal di sana.
DN Basis Pengguna dan DN Grup Pengguna memiliki nilai: CN=Pengguna,DC=demo,DC=vmware,DC=com
ID Pengguna: Ini perlu diubah dari sAMAccountName menjadi userPrincipalName .
Mengapa beralih ke UPN? Karena ini akan membantu PSC untuk membedakan antara dua Sumber Identitas. Jika keduanya memiliki pengguna dengan nama yang sama, keduanya tidak akan unik. Misalnya administrator@vSphere.local dan administrator@demo.vmware.com . PSC perlu mengetahui Penyimpanan Identitas mana yang akan diautentikasi dan penggunaan UPN memudahkan hal itu.
Perhatikan bahwa administrator@demo.vmware.com mungkin tidak memiliki userPrincipalName default yang telah ditetapkan. Saya masuk ke ADSI Edit dan memperbaikinya. Semua pengguna berikutnya memiliki UPN.
Catatan: RSA Authentication Manager tidak mendukung penggunaan nama pengguna multi-byte. Hal ini dijelaskan dengan jelas dalam panduan Administrator RSA Authentication Manager (Halaman 126 dalam dokumentasi 8.1)
Agen Autentikasi
Sekarang setelah kita mengonfigurasikan semua Sumber Identitas dan RSA serta VMware menggunakan kumpulan pengguna yang sama, saatnya membuat Agen Autentikasi. Di Konsol Keamanan AuthMan, pilih Akses>Agen Autentikasi>Tambah Baru>
Anda akan disajikan dengan formulir Agen Autentikasi Baru. Nilai penting yang perlu ditambahkan di sini adalah FQDN sumber daya yang Anda lindungi, dalam hal ini PSC. Untuk demo saya, saya menambahkan mgt-psc-01.demo.VMware.com .
Perlu dicatat bahwa jika Anda memiliki lebih dari satu PSC, Anda perlu menambahkan Agen Autentikasi untuk setiap PSC di lingkungan Anda. Ini memastikan bahwa PSC apa pun yang diakses vCenter Anda akan dapat melayani login SecurID.
Nama Host yang digunakan akan menjadi nama Agen Autentikasi. Anda akan memerlukan informasi ini nanti saat mengonfigurasi PSC.
Cukup tambahkan Nama Host dan klik Selesaikan IP lalu Simpan. PSC akan dikonfigurasi sebagai "Agen Standar", bukan Agen Web.
Pada tahap ini RSA Authentication Manager siap untuk Anda konfigurasikan PSC.
Nantikan Bagian 2 di mana kami membahasnya dan RSA SecurID di vCenter Anda!
Jika Anda menyukai postingan ini, silakan beri tahu saya! Jika Anda memiliki komentar, silakan balas di sini, ke @vspher
Tidak ada komentar:
Posting Komentar