Um dos desafios para quem trabalha com administração de recursos de TI é a gestão de acessos. Para ambientes de pequeno porte isso pode até não representar um problema. Porém, gerir um ambiente de grande porte, com diversos sistemas em funcionamento e diversos usuários pode se tornar uma tarefa complicada e exaustiva.
Prover autenticação centralizada pode resolver esse problema e minimizar a quantidade de contas de usuários criadas dentro de um ambiente. No Infoblox, podemos configurar os seguintes serviços de autenticação externa:
- Active Directory
- LDAP
- TACACS+
- RADIUS
- OCSP
A configuração de Autenticação Externa se dá em três passos:
- Configuração do Serviço de Autenticação
- Configuração dos Grupos de Acesso e Permissões
- Configuração de uma Policy de Autenticação, relacionando o serviço e os grupos.
Vamos utilizar o Active Directory e realizar a configuração de autenticação externa no exemplo abaixo.
Em primeiro lugar, é preciso documentar quais grupos de usuários do AD terão acesso ao Grid Infoblox. No exemplo abaixo, vamos utilizar o grupo ReadOnly-Infoblox, assumindo que é um grupo que terá acesso “somente leitura” ao Grid.
Ilustração 1: Grupo do AD Utilizado para o teste
Anote o nome do grupo. Ele será utilizado na configuração da autenticação externa.
Para iniciar a configuração, efetue login no Grid Manager.
Navegue até Administration > Authentication Server Groups > Active Directory Services.
Ilustração 2: Menu do Infoblox
Clique no botão destacado para inserir o serviço de autenticação do Active Directory.
Ilustração 3: Adicionando o Serviço do AD
Na tela a seguir, insira as informações conforme a imagem abaixo.
Ilustração 4:Configurando o serviço do AD
Na próxima tela, veremos o serviço configurado listado.
Ilustração 5: Serviço do AD adicionado ao Infoblox
Agora que criamos o vínculo com o Active Directory, precisamos dizer para o Infoblox quais grupos irão acessá-lo.
Navegue até Administration, Administrators e finalmente, Groups.
Ilustração 6: Menus de Grupos do Infoblox
Crie um novo grupo com o mesmo nome do grupo do Active Directory. É importante ressaltar a importância do nome do grupo no Infoblox e no Active Directory, pois o Infoblox irá utilizar o nome do grupo para vincular a permissão para acessar o Grid.
Clique em Add.
Ilustração 7: Criação de Grupo no Grid Manager
Agora, vamos definir algumas permissões para o grupo. Para o exemplo, estamos considerando um grupo de usuários com acesso de leitura. Vamos realizar a liberação para visualização do IPAM à este grupo.
Navegue até Administration, Administration e Permissions.
Ilustração 8: Menus de Permissions no Grid Manager
Na tela de grupos, selecione o grupo criado anteriormente e clique na seta ao lado do botão Add, em seguida, clique em Global Permissions.
Ilustração 9: Adicionando Permissão Global ao Grupo
Ilustração 10: Configuração das permissões de leitura no IPAM
As opções selecionadas estarão disponíveis para visualização na próxima tela.
Ilustração 11: Configuração das permissões de leitura no IPAM
No próximo passo, é preciso realizar a configuração de uma Policy de Autenticação para determinar o mapeamento das credenciais com os serviços configurados.
Navegue até Administration, Administrators e Authentication Policy.
Ilustração 12: Menus de Policies de Autenticação no Grid Manager
A tela exibirá a configuração padrão do Infoblox. Em primeiro lugar, vamos inserir o serviço do Active Directory para receber os pedidos de login do Infoblox. Clique em Add.
Ilustração 13: Menu de ordenação/adição de serviço de autenticação na Policy
Selecione o tipo de serviço e o item criado nos passos anteriores.
Ilustração 14: Adição do Serviço de Autenticação via AD na Policy
Em seguida, mova o item criado para a primeira posição da lista utilizando as setas à esquerda.
Ilustração 15: Serviço do AD com prioridade na Policy
Agora, insira o grupo criado anteriormente na caixa abaixo.
Ilustração 16: Menu de Ordenação/Adição dos grupos de autenticação.
Ilustração 17: Adição do Grupo ReadOnly-Infoblox
Da mesma forma, mova o item criado para a primeira posição da lista utilizando as setas à esquerda.
Ilustração 18: Grupo adicionado com prioridade na Policy.
Logo abaixo, é possível configurar um grupo local para inserir o usuário caso não seja encontrado em nenhum serviço. Por default, o admin-group é a opção sinalizada. Clique em Clear Selection para desfazer a configuração.
Ilustração 19: Configuração de grupo de permissionamento default
As operações acima configuram o serviço para operar da seguinte forma:
- Após o usuário inserir suas credenciais no Grid Manager, o Infoblox verificará a Autentication Policy para autenticar o usuário.
- No exemplo acima, configuramos o AD como primeiro serviço de autenticação. O Infoblox então irá disparar um pedido de acesso ao Active Directory e este por sua vez irá verificar se o usuário existe na base de dados.
- Caso exista, o Active Directory retornará os dados dos grupos onde o usuário é membro.
- O Infoblox por sua vez tentará relacionar um dos grupos no qual o usuário existe dentro do AD com um grupo configurado no Grid Manager e mapeará o usuário ao grupo, aplicando as configurações de permissão definidas à este grupo dentro do Grid Manager.
- Caso não seja encontrado no AD ou ele não seja membro de um grupo do AD configurado no Grid Manager, ele tentará encontrar uma referência do usuário na base local de usuários do Infoblox. Caso exista um usuário com o mesmo nome, o acesso será liberado de acordo com as permissões definidas no Grid Manager.
- Se todas as tentativas de vínculo de usuário/serviço falharem, o Infoblox fará o mapeamento do usuário com um grupo default previamente definido na Authentication Policy. Como a configuração para este caso foi desfeita, o vínculo não será feito com nenhum grupo, logo, o usuário não terá acesso ao grid.
Resumindo: Caso o usuário não exista do grupo do AD ou não esteja configurado no grupo local do Infoblox, ele terá acesso negado ao Grid Manager.
Vamos testar o trabalho feito.
Efetue login utilizando uma conta de usuário que esteja no grupo do AD e efetue logoff. Entre novamente com uma conta de administrador e verifique o AuditLog do Grid Manager.
Você deverá ver um registro semelhante ao exibido abaixo, com o IP do usuário que se autenticou e o grupo relacionado.
Ilustração 20: AuditLog registrando login do usuário do AD.
O Infoblox é muito versátil nas configurações e as combinações de configuração. Todos os métodos de autenticação, relacionamento de grupos e mapeamento com grupos locais pode ser realizada de diversas formas pelo usuário, concentrando todos os esforços para gerir os acessos em um só lugar, aumentando o controle sobre o ambiente e diminuindo a quantidade de contas por usuário e a variabilidade de senhas de acesso, posteriormente, a segurança do ambiente.