Hướng dẫn xác thực người dùng sử dụng STAS trên AD và Sophos XG

Overview

Sophos Transparent Authentication Suite loại bỏ nhu cầu ghi nhớ nhiều mật khẩu khi người dùng đăng nhập vào Sophos UTM khi anh ta đăng nhập vào Windows bằng tên người dùng và mật khẩu Windows của mình. Ngoài ra, nó còn loại bỏ cài đặt máy khách SSO trên mỗi trạm làm việc. Dễ sử dụng cho người dùng cho người dùng cuối và mức độ bảo mật cao hơn trong việc bổ sung để giảm chi phí vận hành liên quan đến cài đặt máy khách

Bài viết sẽ hướng dẫn bạn cách tích hợp STAS trong môi trường với một Active Directory Server trên thiết bi tường lửa Sophos XG

Bài viết sẽ cấu hình theo sơ đồ sau:

Hướng dẫn cấu hình

B1: Cấu hình ADS

Thực hiện trên Active Directory

• Start -> Administrative Tools -> Local Security Policy để xem các cài đặt bảo mật
• Vào Security Setting -> Local Policies -> Audit Policy -> Audit account logon -> Chuột phải vào Audit account logon events -> Chọn Propertise
• Chọn cả hai mục Success và Failure -> Nhấn OK

• Local Security Policy -> Security Setting -> Local Policies -> User Rights Assignment -> Log on as a service -> Chuột phải Log on as a service -> Chọn Propertise
• Nhấn Add User or Group -> add user administrator -> Nhấn OK

B2. Download STAS

• Đăng nhập vào AD bằng tài khoản Administrator
• Đăng nhập vào giao diện đồ hoạ của Sophos XG bằng tài khoản Admin
• Authentication -> Nhấn vào icon … -> Chọn Client Downloads để download file cài đặt -> Cài đặt trên AD Server
• Bạn cũng có thể tải xuống STAS từ trang Download Client trong User Portal khi đăng nhập vào bằng tài khoản Admin

B3: Cài đặt STAS trên AD

• Tiến hành cài đặt STAS đã tải xuống. Nhấp Next 4 lần -> Nhấn Install
• Chọn SSO và nhấn Next

• Nhập username và password của admin -> Nhấn Next
• Nhấn Finish để hoàn thành cài đặt

B4: Cấu hình cho STAS

• Mở STAS bằng double click vào Sophos Transparent Authentication Suite trên desktop
• Ở tab STA Collector
  • Ở phần Sophos Appliances -> Nhấn Add để thêm IP của cổng LAN của thiết bị Sophos XG
  • Ở phần Workstation Polling Settings: Chọn WMI
  • Ở phần Logoff Detection Settings và Appliance Port -> Giữ nguyên cấu hình mặc định

-> Nhấn Apply

• Ở tab STA Agent
  • Ở phần Monitored Networks -> Nhấn Add để thêm lớp mạng LAN mà bạn muốn xác thực

-> Nhấn Apply

• Ở tab General
  • Nhập tên NetBIOS của domain
  • Nhập FQDN của domain
  • Nhấn Start để bắt đầu STAS

-> Nhấn Apply -> Nhấn OK

B5: Thêm AD Server vào Sophos XG để có thể xác thực được các user của domain

Cấu hình trên XG

Authentication -> Servers -> Nhấn Add

• Ở phần Server type: Chọn Active Directory
• Server name: Đặt tên cho server mà bạn muốn quản lý
• Server IP/domain: Nhập IP của AD
• Port: 389
• NetBIOS domain: Nhập administrator
• Password: Nhập password của tài khoản administrator
• Connection security: Chọn Simple
• Display name attribute: Nhập tên cho server mà bạn muốn quản lý
• Email address attribute: Nhập Email mà bạn muốn (có thể để trống)
• Domain name: Nhập tên domain của bạn
• Search queries: Nhập tên domain theo dạng queries (VD: dc=vacif,dc=com)

-> Nhấn Test connection -> Nhấn Save

B6: Điều chỉnh cấu hình Service để firewall xác thực bằng AD server

Authentication -> Services

Ở phần Firewall authentication methods

• Nhấn chọn AD của bạn và bỏ chọn Local
• Ở phần Default group: Chọn OU mà bạn đã add

-> Nhấn Apply

B7: Cấu hình STAS trên thiết bị tường lửa XG Firewall

• Authentication -> để bật STAS bằng cách chọn ON và nhấn Activate STAS

• Sau khi activate, chọn Add New Collector

• Nhập IP của AD Server trong Collector IP -> Nhấn Save

B8: Tạo firewall rule để sử dụng xác thực STAS

• Firewall -> Nhấn Add Firewall rule để tạo quy tắc tường lửa, kiểm soát lưu lượng theo user

B9: Xác minh người dùng

** Nếu bạn gặp khó khăn trong việc cấu hình các sản phẩm của Sophos tại Việt Nam, hãy liên hệ với chúng tôi:

EMAIL: info@thegioifirewall.com

HOTLINE: 02862711677