Cách cấu hình Clientless Single Sign-On trong môi trường Active Directory Domain Controller duy nhất

Overview

  • Bài viết này giải thích cách tích hợp STAS trong môi trường với một Active Directory Server trên thiết bị tường lửa Sophos XG.
  • Lưu ý: Xin lưu ý rằng một khi STAS được kích hoạt để thử nghiệm hoặc triển khai, tường lửa sẽ giảm lưu lượng không xác thực cho đến khi việc thăm dò phản hồi hoặc hết thời gian.

Sophos Clientless SSO Authentication là gì?

  • Sophos Clientless SSO ở dạng Sophos Transparent Authentication (STAS). Bộ STA bao gồm:
    • STA Agent: giám sát các yêu cầu xác thực người dùng và gửi thông tin đến STA Collector để xác thực.
    • STA Collector: thu thập các yêu cầu xác thực người dùng từ tác nhân STA, xử lý yêu cầu và sau đó gửi chúng đến Tường lửa XG để xác thực.

Hướng dẫn cấu hình

Cấu hình ADS

  • Đi đến Start > Administrative Tools > Local Security Policy để xem các cài đặt bảo mật.
  • Duyệt đến Security Setting > Local Polices > Audit Policy và nhấp đôi chuột vào Audit account logon để xem  sự kiện trên cửa sổ Audit account logon events Propertise.
  • Chọn cả hai tùy chọn Success và Failure và click OK để đóng cửa sổ.

  • Trong khi vẫn ở Local Security Policy, hay duyệt đến Security Setting > Local Policies > User Rights Assignment và nhấp đôi chuột trên Log on as a service để xem Log on as a service Propertise.
  • Nếu người dùng Quản trị đang được sử dụng để cài đặt và chạy STAS không được liệt kê ở đây, hãy chọn Add User hoặc Group và add the user. Chọn OK để đóng cửa sổ.

  • Định cấu hình Tường lửa Windows và / hoặc phần mềm tường lửa của bên thứ 3 để cho phép giao tiếp qua các cổng sau:
    • ADServer : Inbound UDP 6677, Outbound UDP 6060, Outbound TCP 135 & 445 (if using Workstation Polling Method WMI or Registry Read Access), Outbound ICMP (if using Logoff Detection Ping), Inbound/Outbound UDP 50001 (collector test), Inbound/Outbound TCP 27015 (config sync).

Cấu hình STAS

Tải xuống STAS

  • Đăng nhập vào AD Server của bạn bằng tài khoản Quản trị viên và làm theo các bước bên dưới để cài đặt và định cấu hình STAS
  • Tải xuống STAS từ giao diện người dùng đồ họa (GUI) của thiết bị tường lửa Sophos XG, đi tới Authentication (nhấp vào biểu tượng ở phía bên phải của menu Authentication)> Tải xuống ứng dụng khách và cài đặt nó trên AD Server.
  • Bạn cũng có thể tải xuống STAS từ trang Download Client trong User Portal trong khi đăng nhập với tư cách Quản trị viên.

Cài đặt STAS

  • Tiến hành cài đặt tệp STAS đã tải xuống gần đây. Nhấp vào Next 4 lần và nhấp Install.
  • Chọn SSO và click Next.

  • Nhập tên người dùng và mật khẩu của quản trị viên, chọn Next.
  • Nhấn Finish để hoàn thành cái đặt.
  • Sau khi cài đặt STAS, hãy khởi chạy nó từ Start > All Program > STAS> Sophos Transparent Authentication Suite hoặc từ phím tắt trên màn hình.

Cấu hình STAS

  • Chuyển sang tab STA Collector.
  • Phía dưới Sophos Appliances, thêm địa chỉ IP cổng LAN của thiết bị tường lửa Sophos XG.
  • Đặt Workstation Polling Settings là VMI.
  • Giữ Logoff Detection Settings trong cài đặt mặc định của nó.
    • Đặt Dead Entry Timeout sẽ đăng xuất người dùng ra khỏi thiết bị tường lửa Sophos XG sau thời gian được phân bổ, ngay cả khi Logoff Detection cho người dùng bị tắt.
  • Giữ nguyên các cũng mặc định là 6677 và 5566.

  • Chuyển đến tab STA Agent.
  • Nhập lớp mạng được giám sát bởi STAS.

  • Chuyến sang General tab.
  • Nhập NetBIOS name cho domain.
  • Nhập FQDN cho domain.
  • Chọn Start dể bắt đầu dịch vụ STAS.

Tích hợp thiết bị tường lửa Sophos XG với Active Directory

  • Vui lòng tham khảo tại đường dẫn này để được hướng dẫn chi tiết.
  • Lưu ý: Bạn phải thêm AD Server làm Firewall Authentication Method trong tab Dịch vụ.

Cấu hình STAS trên thiết bị tường lửa XG firewall

  • Đi đến Authentication > STAS để bật STAS bằng cách chọn nút ON và click Activate STAS.

  • Sau khi activate, chọn Add New Collector.

  • Nhập địa chỉ IP của AD Server trong ô Collector IP và click Save.

  • Tại thời điểm này, thiết bị tường lửa XG cố gắng liên hệ với STAS trên máy chủ AD qua UDP 6060. Trên Máy chủ AD, mở STAS và đi đến tab General để xem địa chỉ IP thiết bị tường lửa XG Tường lửa trong Thiết bị Sophos. Đây là một dấu hiệu cho thấy STAS được kết nối với Tường lửa XG một cách chính xác.

  • Chuyển đến Firewall > + Add Firewall Rule để tạo quy tắc tường lửa dựa trên danh tính để kiểm soát lưu lượng theo kiểu người dùng.

Kết Quả

Xác mình người dùng trực tiếp

  • Khi người dùng đã xác thực thành công tên miền, họ có thể được xem như một người dùng đang hoạt động trên STAS hoặc trong Tường lửa Sophos XG.
  • Trên STAS, đi đến Advance tab và chọn Show Live Users.

  • Trên thiết bị tường lửa Sophos XG, đi đến Monitor & Analyze > Current Activities > Live Users.

 

0 0 đánh giá
Đánh giá bài viết
Theo dõi
Thông báo của
guest
0 Góp ý
Cũ nhất
Mới nhất Được bỏ phiếu nhiều nhất
Phản hồi nội tuyến
Xem tất cả bình luận