• Show More Brands
Home / Hướng dẫn cấu hình Firewall Sophos XG / Sophos XGS: Hướng dẫn cấu hình xác thực user domain sử dụng STAS giữa Sophos XG và AD server

Sophos XGS: Hướng dẫn cấu hình xác thực user domain sử dụng STAS giữa Sophos XG và AD server

Overview

Bài viết hướng dẫn cách cấu hình STAS, đây là tính năng cung cấp khả năng xác thực người dùng trong mạng nội bộ một cách tự động chỉ cần đăng nhập trên máy trạm của người dùng. Và cũng không cần phải cài đặt SSO ở trên mỗi máy trạm. Dễ dàng sử dụng cho end user và mức độ bảo mật cao hơn

Sơ đồ mạng

Các bước cấu hình

  • Cấu hình ADS
  • Download STAS
  • Cài đặt STAS trên AD
  • Cấu hình STAS
  • Thêm AD server vào Sophos XGS để xác thực user domain
  • Điều chỉnh cấu hình Service để xác thực bằng AD server
  • Cấu hình STAS trên XGS firewall
  • Tạo firewall rule với source identity là group, user để sử dụng xác thực STAS
  • Kiểm tra hoạt động STAS
  • Kiểm tra giao diện report, monitoring, logging

Hướng dẫn cấu hình

B1: Cấu hình ADS

Cấu hình trên AD

  • Start -> Administrative Tools -> Local Security Policy để xem settings bảo mật
  • Security Settings -> Local Policies -> Audit Policy -> Audit account logon -> Nhấp chuột phải ở Audit account logon events -> Chọn Properties
  • Chọn cả hai Success và Failure -> Nhấn OK
  • Local Security Policy -> Security Settings -> Local policies -> User Rights Assignment -> Log on as a service -> Chuột phải ở Log on as a service -> Chọn Properties
  • Nhấn Add User or Group -> Thêm user administrator -> Nhấn OK

B2: Download STAS

  • Đăng nhập vào AD bằng tài khoản Administrator
  • Đăng nhập vào giao diện đồ hoạ của Sophos XG bằng tài khoản Admin
  • Authentication -> Nhấn vào icon … -> Chọn Client Download để download file cài đặt -> Cài đặt trên AD Server
  • Bạn có thể download STAS từ trang Download Client trên User Portal khi logging bằng tài khoản Admin

B3: Cài đặt STAS trên AD

  • Cài đặt STAS đã download trước đó, nhấn Next 4 lần -> Nhấn Install
  • Chọn SSO và nhấn Next
  • Nhập username và password tài khoản administrator domain (adminstrator@domain.com) -> Nhấn Next
  • Nhấn Finish để hoàn thành cài đặt

B4: Cấu hình STAS

  • Mở STAS bằng cách nhấp double vào Sophos Transparent Authentication Suite trên màn hình desktop
  • Trên STA Collector tab
    • Ở mục Sophos Appliance -> Nhấn Add để thêm địa chỉ IP của port LAN của Sophos XG
    • Ở Workstation Polling Settings: Chọn WMI
    • Ở Logoff Detection Settings và Appliance Port -> Giữ cấu hình default

-> Nhấn Apply

  • Trên STA Agent tab
    • Ở mục Monitor Networks -> Nhấn Add để thêm LAN network mà bạn muốn xác thực

-> Nhấn Apply

  • Ở General tab
    • Nhập NetBIOS của domain
    • Nhập FQDN của domain
    • Nhấn Start để khởi động STAS

-> Nhấn Apply -> Nhấn OK

B5: Thêm AD server vào Sophos XGS để xác thực user domain

Cấu hình trên Sophos XG

Authentication -> Server -> Nhấn Add

  • Ở mục Server type: Chọn Active Directory
  • Server name: Nhập tên server mà bạn muốn quản lý
  • Server IP/domain: Nhập địa chỉ IP của AD
  • Port: 389
  • NetBIOS domain: Nhập tên NetBIOS của AD
  • ADS username: Nhập administrator
  • Password: Nhập password của tài khoản administrator
  • Connection security: Chọn Simple
  • Display name attribute: Nhập tên cho server mà bạn muốn quản lý
  • Email address attribute: Nhập email mà bạn muốn (có thể để trống)
  • Domain name: Nhập domain name
  • Search queries: Nhập domain name theo định dạng queries (VD: dc=vcf,dc=com)

-> Nhấn Test connection -> Nhấn Save

B6: Điều chỉnh cấu hình Service cho xác thực bằng AD server

Authentication -> Services

Ở Firewall authentication methods

  • Chọn AD của bạn và bỏ chọn Local
  • Ở Default group: Chọn OU mà bạn muốn thêm

-> Nhấn Apply

B7: Cấu hình STAS trên XGS firewall

  • Authentication -> Bật STAS bằng cách chọn ON và nhấn Active STAS
  • Nhập địa chỉ IP của AD Server ở mục Collector IP -> Nhấn Save

B8: Tạo firewall rule với source identity là group, user để sử dụng xác thực STAS

  • STAS -> Nhấn Add Firewall rule để tạo firewall rules, kiểm soát traffic của user

B9: Kiểm tra hoạt động của STAS

  • Tạo firewall rule LAN to WAN với web policy cho phép truy cập facebook.com nhưng không cho phép truy cập youtube.com
  • Kiểm tra user đăng nhập trên AD và Sophos XG
  • Trên máy trạm của người dùng, thực hiện truy cập web để kiểm tra policy

B10: Kiểm tra giao diện report, monitoring, logging

  • Giao diện report
  • Giao diện monitoring
  • Giao diện logging
0 0 đánh giá
Đánh giá bài viết
Theo dõi
Thông báo của
guest
0 Góp ý
Phản hồi nội tuyến
Xem tất cả bình luận
0
Rất thích suy nghĩ của bạn, hãy bình luận.x