Blog

Sophos XG v18: Hướng dẫn cấu hình xác thực user domain sử dụng STAS trên AD và Sophos XG firmware version 18

Overview

Bài viết hướng dẫn cách cấu hình STAS, đây là tính năng cung cấp khả năng xác thực người dùng trong mạng nội bộ một cách tự động chỉ cần đăng nhập trên máy trạm của người dùng. Và cũng không cần phải cài đặt SSO ở trên mỗi máy trạm. Dễ dàng sử dụng cho end user và mức độ bảo mật cao hơn

Sơ đồ mạng

Chi tiết sơ đồ mạng

AD server có địa chỉ IP 172.17.17.100/24

Các máy trạm trong mạng được cấp IP động với lớp mạng 172.17.17.0/24

Gateway của các máy trạm là thiết bị Sophos XG có IP 172.17.17.17/24

Tình huống cấu hình

Bài viết sẽ thực hiện cấu hình STAS trên thiế bị Sophos firewall và AD server để máy trạm của người dùng trong môi trường domain chỉ cần đăng nhập username và password là có thể được xác thực cả trên Sophos firewall. Tài khoản username và password đã được đồng bộ hoá giữa AD server và Sophos firewall

Đồng thời sử dụng firewall rule và web policy để kiểm tra hoạt động mạng của người dùng domain

Hướng dẫn cấu hình

Bước 1: Cấu hình ADS

Cấu hình trên AD

  • Start -> Administrative Tools -> Local Security Policy để xem settings bảo mật
  • Security Settings -> Local Policies -> Audit Policy -> Audit account logon -> Nhấp chuột phải ở Audit account logon events -> Chọn Properties
  • Chọn cả hai SuccessFailure -> Nhấn OK
  • Local Security Policy -> Security Settings -> Local policies -> User Rights Assignment -> Log on as a service -> Chuột phải ở Log on as a service -> Chọn Properties
  • Nhấn Add User or Group -> Thêm user administrator -> Nhấn OK

Bước 2: Download STAS

  • Đăng nhập vào AD bằng tài khoản Administrator
  • Đăng nhập vào giao diện đồ hoạ của Sophos XG bằng tài khoản Admin
  • Authentication -> Nhấn vào icon … -> Chọn Client Download để download file cài đặt -> Cài đặt trên AD Server
  • Bạn có thể download STAS từ trang Download Client trên User Portal khi logging bằng tài khoản Admin

Bước 3: Cài đặt STAS trên AD

  • Cài đặt STAS đã download trước đó, nhấn Next 4 lần -> Nhấn Install
  • Chọn SSO và nhấn Next
  • Nhập username và password -> Nhấn Next
  • Nhấn Finish để hoàn thành cài đặt

Bước 4: Cấu hình STAS

  • Mở STAS bằng cách nhấp double vào Sophos Transparent Authentication Suite trên màn hình desktop
  • Trên STA Collector tab
    • Ở mục Sophos Appliance -> Nhấn Add để thêm địa chỉ IP của port LAN của Sophos XG
    • Workstation Polling Settings: Chọn WMI
    • Logoff Detection SettingsAppliance Port -> Giữ cấu hình default

-> Nhấn Apply

  • Trên STA Agent tab
    • Ở mục Monitor Networks -> Nhấn Add để thêm LAN network mà bạn muốn xác thực

-> Nhấn Apply

  • General tab
    • Nhập NetBIOS của domain
    • Nhập FQDN của domain
    • Nhấn Start để khởi động STAS

-> Nhấn Apply -> Nhấn OK

Bước 5: Thêm AD Server vào Sophos XG để xác thực user domain

Cấu hình trên Sophos XG

Authentication -> Server -> Nhấn Add

  • Ở mục Server type: Chọn Active Directory
  • Server name: Nhập tên server mà bạn muốn quản lý
  • Server IP/domain: Nhập địa chỉ IP của AD
  • Port: 389
  • NetBIOS domain: Nhập tên NetBIOS của AD
  • ADS username: Nhập administrator
  • Password: Nhập password của tài khoản administrator
  • Connection security: Chọn Simple
  • Display name attribute: Nhập tên cho server mà bạn muốn quản lý
  • Email address attribute: Nhập email mà bạn muốn (có thể để trống)
  • Domain name: Nhập domain name
  • Search queries: Nhập domain name theo định dạng queries (VD: dc=vcf,dc=com)

-> Nhấn Test connection -> Nhấn Save

Bước 6: Điều chỉnh cấu hình Service cho xác thực bằng AD server

Authentication -> Services

Firewall authentication methods

  • Chọn AD của bạn và bỏ chọn Local
  • Default group: Chọn OU mà bạn muốn thêm

-> Nhấn Apply

Bước 7: Cấu hình STAS trên XG Firewall

  • Authentication -> Bật STAS bằng cách chọn ON và nhấn Active STAS
  • Sau khi active, chọn Add New Collector
  • Nhập địa chỉ IP của AD Server ở mục Collector IP -> Nhấn Save

Bước 8: Tạo firewall rule để sử dụng xác thực STAS

  • STAS -> Nhấn Add Firewall rule để tạo firewall rules, kiểm soát traffic của user

Bước 9: Kiểm tra hoạt động của STAS

  • Tạo firewall rule LAN to WAN với web policy cho phép truy cập facebook.com nhưng không cho phép truy cập youtube.com
  • Kiểm tra user đăng nhập trên AD và Sophos XG
  • Trên máy trạm của người dùng, thực hiện truy cập web để kiểm tra policy
0 0 đánh giá
Đánh giá bài viết
Theo dõi
Thông báo của
guest
0 Góp ý
Cũ nhất
Mới nhất Được bỏ phiếu nhiều nhất
Phản hồi nội tuyến
Xem tất cả bình luận