Overview
Bài viết hướng dẫn cách cấu hình STAS, đây là tính năng cung cấp khả năng xác thực người dùng trong mạng nội bộ một cách tự động chỉ cần đăng nhập trên máy trạm của người dùng. Và cũng không cần phải cài đặt SSO ở trên mỗi máy trạm. Dễ dàng sử dụng cho end user và mức độ bảo mật cao hơn
Sơ đồ mạng
Chi tiết sơ đồ mạng
AD server có địa chỉ IP 172.17.17.100/24
Các máy trạm trong mạng được cấp IP động với lớp mạng 172.17.17.0/24
Gateway của các máy trạm là thiết bị Sophos XG có IP 172.17.17.17/24
Tình huống cấu hình
Bài viết sẽ thực hiện cấu hình STAS trên thiế bị Sophos firewall và AD server để máy trạm của người dùng trong môi trường domain chỉ cần đăng nhập username và password là có thể được xác thực cả trên Sophos firewall. Tài khoản username và password đã được đồng bộ hoá giữa AD server và Sophos firewall
Đồng thời sử dụng firewall rule và web policy để kiểm tra hoạt động mạng của người dùng domain
Hướng dẫn cấu hình
Bước 1: Cấu hình ADS
Cấu hình trên AD
- Start -> Administrative Tools -> Local Security Policy để xem settings bảo mật
- Security Settings -> Local Policies -> Audit Policy -> Audit account logon -> Nhấp chuột phải ở Audit account logon events -> Chọn Properties
- Chọn cả hai Success và Failure -> Nhấn OK
- Local Security Policy -> Security Settings -> Local policies -> User Rights Assignment -> Log on as a service -> Chuột phải ở Log on as a service -> Chọn Properties
- Nhấn Add User or Group -> Thêm user administrator -> Nhấn OK
Bước 2: Download STAS
- Đăng nhập vào AD bằng tài khoản Administrator
- Đăng nhập vào giao diện đồ hoạ của Sophos XG bằng tài khoản Admin
- Authentication -> Nhấn vào icon … -> Chọn Client Download để download file cài đặt -> Cài đặt trên AD Server
- Bạn có thể download STAS từ trang Download Client trên User Portal khi logging bằng tài khoản Admin
Bước 3: Cài đặt STAS trên AD
- Cài đặt STAS đã download trước đó, nhấn Next 4 lần -> Nhấn Install
- Chọn SSO và nhấn Next
- Nhập username và password -> Nhấn Next
- Nhấn Finish để hoàn thành cài đặt
Bước 4: Cấu hình STAS
- Mở STAS bằng cách nhấp double vào Sophos Transparent Authentication Suite trên màn hình desktop
- Trên STA Collector tab
- Ở mục Sophos Appliance -> Nhấn Add để thêm địa chỉ IP của port LAN của Sophos XG
- Ở Workstation Polling Settings: Chọn WMI
- Ở Logoff Detection Settings và Appliance Port -> Giữ cấu hình default
-> Nhấn Apply
- Trên STA Agent tab
- Ở mục Monitor Networks -> Nhấn Add để thêm LAN network mà bạn muốn xác thực
-> Nhấn Apply
- Ở General tab
- Nhập NetBIOS của domain
- Nhập FQDN của domain
- Nhấn Start để khởi động STAS
-> Nhấn Apply -> Nhấn OK
Bước 5: Thêm AD Server vào Sophos XG để xác thực user domain
Cấu hình trên Sophos XG
Authentication -> Server -> Nhấn Add
- Ở mục Server type: Chọn Active Directory
- Server name: Nhập tên server mà bạn muốn quản lý
- Server IP/domain: Nhập địa chỉ IP của AD
- Port: 389
- NetBIOS domain: Nhập tên NetBIOS của AD
- ADS username: Nhập administrator
- Password: Nhập password của tài khoản administrator
- Connection security: Chọn Simple
- Display name attribute: Nhập tên cho server mà bạn muốn quản lý
- Email address attribute: Nhập email mà bạn muốn (có thể để trống)
- Domain name: Nhập domain name
- Search queries: Nhập domain name theo định dạng queries (VD: dc=vcf,dc=com)
-> Nhấn Test connection -> Nhấn Save
Bước 6: Điều chỉnh cấu hình Service cho xác thực bằng AD server
Authentication -> Services
Ở Firewall authentication methods
- Chọn AD của bạn và bỏ chọn Local
- Ở Default group: Chọn OU mà bạn muốn thêm
-> Nhấn Apply
Bước 7: Cấu hình STAS trên XG Firewall
- Authentication -> Bật STAS bằng cách chọn ON và nhấn Active STAS
- Sau khi active, chọn Add New Collector
- Nhập địa chỉ IP của AD Server ở mục Collector IP -> Nhấn Save
Bước 8: Tạo firewall rule để sử dụng xác thực STAS
- STAS -> Nhấn Add Firewall rule để tạo firewall rules, kiểm soát traffic của user
Bước 9: Kiểm tra hoạt động của STAS
- Tạo firewall rule LAN to WAN với web policy cho phép truy cập facebook.com nhưng không cho phép truy cập youtube.com
- Kiểm tra user đăng nhập trên AD và Sophos XG
- Trên máy trạm của người dùng, thực hiện truy cập web để kiểm tra policy