Overview
Hướng dẫn này mô tả cách kết hợp Sophos XG Firewall (SF-OS) với RADIUS (Remote Authentication Dial in User Service) để cung cấp xác thực, ủy quyền và kế toán cho người dùng dựa trên cơ sở dữ liệu trung tâm.
Điều kiện cần có
Bạn phải có quyền quản trị để đọc-viết và cấu hình các tính năng liên quan trên SF-OS.
Bạn cần có các tham số RADIUS sau trong suốt quá trình cấu hình:
- Địa chỉ IP
- Shared secret
- Tài khoản quản trị viên gồm username và password.
Cấu hình:
Đăng nhập vào bảng điều khiển dành cho quản trị viên trên SF-OS.
Bước 1: Cấu hình SF-OS sử dụng RADIUS Server.
- Đi đến Configure > Authentication > Servers và click Add.
- Cài đặt Server Type là RADIUS Server.
- Chọn Enable Accounting cho yêu cầu Start/Stop Accounting và thời gian Login/Logout. Nhập Accounting Port.
- Group Name Attribute là nhà cung cấp cụ thể.
- Nếu Enable Additional Settings là ON, nhập NAS-Identifier và NAS-Port-Type.
Click Save.
Bước 2: Chọn RADIUS là Server xác thực.
- Đi đến Configure > Authentication > Services.
- Trong Firewall Authentication Method đi đến Authentication Server List và chọn RADIUS Server đã cấu hình trong bước 1.
- Trong danh sách Selected Authentication Server, kéo RADIUS server đã chọn vào vị trí trên cùng. RADIUS server sẽ hoạt động như server xác thực chính.
Click Apply.
Lưu ý:
- Server xác thực mặc định (Local) là SF-OS.
- Với nhiều server xác thực, yêu cầu xác thực được chuyển tiếp dựa trên lệnh cấu hình trong danh sách Selected Authentication Server.
Kiểm tra cấu hình:
1. Nhập https://<SF LAN IP>:8090 (Trang đăng nhập Captive Portal) và đăng nhập một User để kiểm tra nếu bạn có thể truy cập Internet.
2. Nhập https://<SF LAN IP>:4444 và đăng nhập bằng user Admin. Đi đến Monitor & Analyze > Current > Activities > Live Users và kiểm tra nếu User đăng nhập trong bước 1 là hoạt động.
Việc cấu hình là thành công nếu:
- Nếu bạn có thể đăng nhập user truy cập Internet.
- User hiện trên màn hình là hoạt động trên bảng điều khiển của Admin.
Kết quả.
Bạn sẽ có sự kết hợp giữa SF-OS với RADIUS. Tất cả người dùng sẽ được xác thực thông qua RADIUS server.