Zur Startseite gehen
0,00 €*

Seiten-Permalink

Verwenden Sie beim Verweisen auf diese Seite immer den folgenden Permalink. Er bleibt in zukünftigen Hilfeversionen unverändert.

https://docs.sophos.com/nsg/sophos-firewall/20.0/Help/en-us/webhelp/onlinehelp/index.html?contextId=central-security-heartbeat-synchronize-user-ID-authentication

Synchronisierte Benutzer-ID-Authentifizierung

Die synchronisierte Benutzer-ID-Authentifizierung verwendet den Security Heartbeat, um die Benutzerauthentifizierung für Endpunktbenutzer bereitzustellen.

Die synchronisierte Benutzer-ID funktioniert mit Active Directory (AD), das als Authentifizierungsserver in der Firewall konfiguriert ist, und wird derzeit für Windows 7 und Windows 10 unterstützt. Es sind keine Agenten auf dem Server oder den Clients erforderlich, und es werden keine Kennwortinformationen weitergegeben oder verwendet. Die synchronisierte Benutzer-ID funktioniert nicht mit anderen Verzeichnisdiensten und erkennt keine lokalen Benutzer. Die synchronisierte Benutzer-ID gibt die Domänenbenutzerkontoinformationen des Endgeräts, an dem der Benutzer angemeldet ist, über Security Heartbeat an die Firewall weiter. Die Firewall gleicht das Benutzerkonto anschließend mit dem konfigurierten AD-Server ab und aktiviert den Benutzer.

Sophos Endpoint Protection übergibt Windows-Anmeldeinformationen an die Firewall. Die Firewall nutzt diese Informationen zur Authentifizierung gegenüber AD. Diese Authentifizierung dient zum Auslösen benutzerbasierter Richtlinien und der allgemeinen Benutzerauthentifizierung auf der Firewall.

Verfahren

Der synchronisierte Benutzer-ID-Authentifizierungsprozess läuft wie folgt ab:

  1. Benutzer melden sich mit ihren Domänenanmeldeinformationen, ihrem Benutzernamen, ihrem Kennwort und ihrem Domänennamen bei Windows an.
  2. Der Heartbeat-Daemon der Firewall empfängt den Heartbeat-Status der Clients sowie den Domänennamen und den Benutzernamen. Die Domäne wird aus dem Benutzerprinzipalname (UPN) des AD-Eintrags des Benutzers, und der Benutzername wird aus dem sAMAccountName.
  3. Die Firewall prüft anhand der Domäne den richtigen AD-Server, um diese Anmeldeanforderung zu verarbeiten, und sucht in der Benutzerdatenbank der Firewall nach dem richtigen Benutzernamen.
  4. Der Heartbeat-Daemon leitet die Benutzeranmeldeanforderung an den Active Directory-Server weiter.
  5. Der angemeldete Benutzer wird auf der Live-Benutzerseite angezeigt.

Wenn ein Endpunkt-Heartbeat verloren geht oder fehlt, meldet der Heartbeat-Daemon den Benutzer als synchronisierten ID-Benutzer von der Firewall ab. Andere Endpunkt-Authentifizierungsmechanismen können jedoch weiterhin anwendbar sein.

Anforderungen

Damit die synchronisierte Benutzer-ID-Authentifizierung funktioniert, müssen die folgenden Bedingungen erfüllt sein:

  • Ein Sophos Central-Konto muss mit der Firewall verknüpft sein.
  • Zur AD-Authentifizierung muss die Firewall mit dem Domänencontroller verbunden sein.
  • Die Benutzer im Sophos Central-Konto müssen dasselbe Profil haben. Beispielsweise muss das Benutzerprofil in Sophos Central Admin die in der Firewall und im AD verwendete E-Mail-Adresse enthalten.
  • Verwenden Sie für die lokalen Benutzer in der Firewall dieselbe E-Mail-Adresse, die im Sophos Central-Konto definiert ist.
  • In AD muss der Domänenteil des UPN genau mit der für Ihren AD-Server in der Firewall konfigurierten Domäne übereinstimmen.

Deaktivieren der synchronisierten Benutzer-ID-Authentifizierung

Die synchronisierte Benutzer-ID-Authentifizierung ist standardmäßig aktiviert. So deaktivieren Sie sie:

  1. Greifen Sie auf die erweiterte Shell zu.

  2. Führen Sie einen der folgenden Befehle aus:

    • So bleibt es auch nach dem Neustart der Firewall ausgeschaltet: touch /content/no_userid
    • Um es nur ausgeschaltet zu lassen, bis die Firewall neu gestartet wird: touch /tmp/no_userid

  3. Um den Zugriffsserverdienst neu zu starten, führen Sie den folgenden Befehl aus: service access_server:restart -ds nosync

Warnung

Die Statusänderung ist nicht in Backups enthalten. Sie müssen sie wieder deaktivieren, wenn Sie ein Backup wiederherstellen.

Aktivieren Sie die synchronisierte Benutzer-ID-Authentifizierung

Gehen Sie wie folgt vor, um die synchronisierte Benutzer-ID-Authentifizierung zu aktivieren:

  1. Greifen Sie auf die erweiterte Shell zu.
  2. Um die Funktion zu aktivieren, führen Sie den folgenden Befehl aus: rm /content/no_userid
  3. Um den Zugriffsserverdienst neu zu starten, führen Sie den folgenden Befehl aus: service access_server:restart -ds nosync

Notiz

Wenn ein HA-Cluster konfiguriert ist, müssen Sie die synchronisierte Benutzer-ID-Authentifizierung auf beiden Geräten des HA-Clusters ein- oder ausschalten.

Unsere Website benutzt Cookies, die für den technischen Betrieb der Website erforderlich sind und stets gesetzt werden. Andere Cookies, die den Komfort bei Benutzung dieser Website erhöhen, der Direktwerbung dienen oder die Interaktion mit anderen Websites und sozialen Netzwerken vereinfachen sollen, werden nur mit Ihrer Zustimmung gesetzt. Zur Datenschutzerklärung