Overview
Captive Portal là 1 tính năng thuộc dạng flexible, chỉ có trên các firewall thương mại lớn, tính năng này giúp redirect trình duyệt của người dùng vào 1 trang web định sẵn, từ đó giúp chúng ta có thể quản lý được người dùng (hoặc cấm không cho người khác dùng mạng của mình). Tính năng này tiên tiến hơn các kiểu đăng nhập như WPA, WPA2 ở chỗ người dùng sẽ thao tác trực tiếp với 1 trang web (http, https) chứ không phải là bảng đăng nhập khô khang như kiểu authentication WPA, WPA2
Bài viết sau sẽ hướng dẫn bạn cách cấu hình xác thực người dùng thông qua Captive Portal trên thiết bị Firewall Sophos XG
Bài viết sẽ cấu hình theo mô hình sau:
Hướng dẫn cấu hình
B1: Xây dựng domain và tạo user cho domain trong 1 OU
- Trong OU Staff, tôi tạo 2 user với tên: User1, User2
B2: Add AD server vào firewall để có thể xác thực user của domain
Cấu hình trên Firewall XG
Authentication -> Servers -> Nhấn Add
- Ở phần Server type: Chọn Active Directory
- Server name: Đặt tên cho server mà bạn muốn quản lý
- Server IP/domain: Nhập IP của AD
- Port: 389
- NetBIOS domain: Nhập tên NetBIOS của AD
- ADS user name: Nhập administrator
- Password: Nhập password của tài khoản administrator
- Connection security: Chọn Simple
- Display name attribute: Nhập tên cho server mà bạn muốn quản lý
- Email address attribute: Nhập Email mà bạn muốn (có thể để trống)
- Domain name: Nhập tên domain của bạn
- Search queries: Nhập tên domain theo dạng queries (VD: dc=vacif,dc=com)
-> Nhấn Test connection -> Nhấn Save
B3: Add group OU chứa user mà bạn muốn xác thực vào firewall
Nhấn vào icon Import
Nhấn Start để bắt đầu
- Ở phần Base DN: Nhập tên domain với dạng dc=vacif,dc=com
- Chọn OU mà muốn chọn
- Custom policy cho group policy theo như nhu cầu
-> Nhấn Next để hoàn thành
B4: Điều chỉnh cấu hình Service để firewall xác thực bằng AD server
Authentication -> Services
Ở phần Firewall authentication methods
- Nhấn chọn AD của bạn và bỏ chọn Local
- Ở phần Default group: Chọn OU mà bạn đã add
-> Nhấn Apply
B5: Cấu hình tạo Captive Portal
Authentication -> Captive portal
Custom giao diện cho Captive portal theo ý muốn -> Nhấn Preview để xem trước giao diện
-> Nhấn Apply để lưu lại giao diện Captive portal
B6: Tạo firewall rule để các user khi muốn truy cập Web phải xác thực qua Captive portal
Firewall -> Add firewall rule -> User/network rule
Ở phần Source và Destination & services
- Đặt tên cho rule
- Ở Source zones: Chọn LAN
- Ở Source networks and devices: Chọn Any
- Ở Destination: Chọn WAN
- Ở Destination networks: Chọn Any
Ở phần Identity
- Chọn Match known users và Show captive portal to unknown users
- Ở phần Users and groups: Chọn OU mà bạn đã tạo
Ở phần Advanced
- Custom Web policy và Application policy theo ý muốn
- Nếu bạn muốn ghi lại Log, chọn Log firewall traffic
-> Nhấn Save
B7: Ở trên máy trạm, khi người dùng muốn truy cập Internet thì phải xác thực tài khoản user
Sau khi xác thực bằng tài khoản user -> người dùng có thể truy cập Internet như bình thường
** Nếu bạn gặp khó khăn trong việc cấu hình các sản phẩm của Sophos tại Việt Nam, hãy liên lạc với chúng tôi:
EMAIL: info@thegioifirewall.com
HOTLINE: 02862711677
