Konfigurieren Sie die AD SSO-Authentifizierung pro Verbindung für Hosts mit mehreren Benutzern

Sie können die AD SSO-Authentifizierung pro Verbindung für Mehrbenutzerhosts verwenden, die für die Verwendung der Firewall als direkter Proxy konfiguriert sind.

Überblick

In dieser Übersicht wird erläutert, wie Sie die verbindungsbezogene Authentifizierung für Hosts mit mehreren Benutzern konfigurieren. Ein Host mit mehreren Benutzern ist ein Endpunkt oder Server, bei dem sich mehrere Benutzer gleichzeitig anmelden können, z. B. ein Linux-Server mit mehreren Benutzern oder ein Windows-Server mit Remotedesktopdiensten oder Direktzugriff.

Wenn Sie die verbindungsbezogene Authentifizierung aktivieren, authentifiziert der Webproxy jede HTTP- oder HTTPS-Verbindung vom Mehrbenutzerhost mithilfe einer NTLM- oder Kerberos-Authentifizierungsabfrage. Die Firewall behandelt den gesamten übrigen Netzwerkverkehr eines Mehrbenutzerhosts als nicht authentifiziert – ohne bekannte Benutzer-ID.

Einführung

In diesem Beispiel möchten Sie die AD SSO-Authentifizierung pro Verbindung für Benutzer aktivieren, die angemeldet sind bei My_Terminal_Server im sophos.com Domäne. Hier ist das Netzwerkschema.

Konfiguration

Um die Authentifizierung pro Verbindung für Hosts mit mehreren Benutzern zu verwenden, gehen Sie wie folgt vor:

1. Fügen Sie zur Authentifizierung einen Active Directory (AD)-Server hinzu.
2. AD-Gruppen importieren.
3. Legen Sie die Firewall-Authentifizierungsmethode fest.
4. Erstellen Sie einen IP-Host für Ihren Multi-User-Host.
5. Erstellen Sie Firewall-Regeln für eingehenden und ausgehenden Multi-User-Host-Datenverkehr.

Fügen Sie einen AD-Server zur Authentifizierung hinzu

Wenn sich ein Benutzer bei der Sophos Firewall anmeldet, wird er anhand der bei der AD-Integration erstellten Benutzerliste authentifiziert. Nach der Authentifizierung kommuniziert die Sophos Firewall mit AD, um zusätzliche Autorisierungsdaten für die Zugriffskontrolle abzurufen.

Um einen AD-Server hinzuzufügen, gehen Sie wie folgt vor:

1. Gehe zu Authentifizierung > Server und klicken Sie auf Hinzufügen.
2. Wählen Active Directory als Servertyp.

3. Geben Sie die Servereinstellungen an.

   Notiz

   Verwenden Sie für Einstellungen, die in diesem Beispiel nicht aufgeführt sind, die Standardeinstellungen.

   Einstellung	Wert
   Name	Mein_AD_Server
   Server-IP/Domäne	192.168.1.100
   Verbindungssicherheit	SSL/TLS Verwendet den Standardport.
   NetBIOS-Domäne	SOPHOS
   ADS-Benutzername	Administrator
   Passwort	Passwort für den Administratorbenutzer des Servers.
   Domänenname	sophos.com
   Suchanfragen	Klicken Hinzufügen und geben Sie ein dc=sophos,dc=com.

   Hier ist ein Beispiel:

   

   Tipp

   Suchanfragen basieren auf dem Domänennamen (DN). In diesem Beispiel lautet der Domänenname sophos.com, daher lautet die Suchanfrage: dc=sophos,dc=com.

   Sehen Suche nach AD

   Sehen Beispiele für LDAP-Abfragen

4. Klicken Verbindung testen um die Benutzeranmeldeinformationen zu validieren und die Verbindung zum Server zu überprüfen.

5. Klicken Speichern.

AD-Gruppen importieren

Wenn sich ein Benutzer zum ersten Mal anmeldet, wird er von der Firewall automatisch der angegebenen Standardgruppe hinzugefügt. Ist die Gruppe des Benutzers in der Sophos Firewall vorhanden, wird er dieser Gruppe hinzugefügt.

Um AD-Gruppen in die Firewall zu importieren und Richtlinien für sie festzulegen, gehen Sie wie folgt vor:

1. Gehe zu Authentifizierung > Server > Verwalten und klicken Sie auf Importieren für My_AD_Server.

   

2. Klicken Sie im Assistenten „Gruppe importieren“ auf Start.

3. Für Basis-DN, wählen dc=sophos,dc=com.

   

4. Wählen Sie die AD-Gruppen aus, die Sie importieren möchten. Wählen Sie in diesem Beispiel die Organisationseinheiten „Marketing“ und „KBTeam“ aus.

   Tipp

   Wenn Sie eine Organisationseinheit auswählen, werden alle Gruppen innerhalb dieser Organisationseinheit ausgewählt.

   

5. Wählen Sie gemeinsame Richtlinien für Gruppen aus. Wählen Sie An alle Gruppen anhängen , um die Richtlinien allen Gruppen zuzuweisen, die der Assistent importiert.

   

6. Überprüfen Sie die Auswahl.

7. Sehen Sie sich die Ergebnisse an und klicken Sie auf Schließen.
8. Gehe zu Authentifizierung > Gruppen und überprüfen Sie die kürzlich importierten Gruppen.

Festlegen der primären Authentifizierungsmethode

Wenn Sie mehrere AD-Server konfiguriert haben, führt Sophos Firewall eine Validierung anhand Ihrer AD-Server in der in der Webadministrationskonsole konfigurierten Reihenfolge durch.

Um den AD-Server als primäre Authentifizierungsmethode festzulegen, gehen Sie wie folgt vor:

1. Gehe zu Authentifizierung > Leistungen.
2. In der Liste der Authentifizierungsserver unter Firewall-Authentifizierungsmethoden, wählen My_AD_Server.

3. Verschiebt den Server an die erste Position in der Liste der ausgewählten Server.

   Hier ist ein Beispiel:

   

4. Wählen Sie die Standardgruppe. Die Sophos Firewall fügt Benutzer zur Standardgruppe hinzu, wenn sie keiner lokalen Gruppe angehören.

5. Klicken Anwenden.

Erstellen eines IP-Hosts

Sie müssen einen IP-Host für Ihren Mehrbenutzer-Host erstellen, damit Sie ihn für die Authentifizierung pro Verbindung auswählen können.

Um einen IP-Host für Ihren Multi-User-Host zu erstellen, gehen Sie wie folgt vor:

1. Gehe zu Gastgeber und Dienste > IP-Host und klicken Sie auf Hinzufügen.

2. Legen Sie die Einstellungen fest.

   Einstellung	Wert
   Name	Mein_Terminal_Server
   IP-Version	IPv4
   Typ	IP
   IP-Adresse	192.168.1.101

   Hier ist ein Beispiel:

   

3. Klicken Speichern.

Aktivieren Sie die AD SSO-Authentifizierung pro Verbindung für Hosts mit mehreren Benutzern.

Um mehrere Benutzer über eine einzelne IP-Adresse mit AD SSO zu authentifizieren, müssen Sie die verbindungsbezogene Authentifizierung für Hosts mit mehreren Benutzern aktivieren. Für alle anderen Hosts verwendet die Firewall weiterhin die verbindungsbezogene Authentifizierung.

Um die Authentifizierung pro Verbindung für Hosts mit mehreren Benutzern zu aktivieren, gehen Sie wie folgt vor:

1. Gehe zu Authentifizierung > Web-Authentifizierung > Authentifizierungseinstellungen für direkten Webproxy.
2. Wählen Verwenden Sie die AD SSO-Authentifizierung pro Verbindung für Hosts mit mehreren Benutzern.
3. Klicken Neues Element hinzufügen und wählen Sie My_Terminal_Server.

4. Klicken Anwenden.

   Hier ist ein Beispiel:

   

Erstellen Sie Firewall-Regeln für den Host-Datenverkehr mehrerer Benutzer

Multi-User-Hosts mit aktivierter Authentifizierung pro Verbindung müssen über eine separate Firewall-Regel verfügen, die Übereinstimmung mit bekannten Benutzern ausgeschaltet.

Gehen Sie wie folgt vor, um Firewall-Regeln für ausgehenden Mehrbenutzer-Host-Datenverkehr zu erstellen:

1. Gehe zu Regeln und Richtlinien > Firewall-Regeln.
2. Wählen IPv4 oder IPv6, wählen Firewallregel hinzufügenund wählen Sie Neue Firewall-Regel.

3. Geben Sie die Regeldetails ein:

   Einstellung	Wert
   Regelname	TS_Outbound
   Regelposition	Spitze
   Aktion	Akzeptieren
   Protokollieren des Firewall-Datenverkehrs	Wählen Sie diese Option aus, um den gesamten Datenverkehr zu protokollieren, der dieser Regel entspricht.

   Warnung

   Die Sophos Firewall wertet die Regeln in der angezeigten Reihenfolge aus, bis sie eine Übereinstimmung findet. Verbindungsspezifische Authentifizierungsregeln müssen vor anderen Regeln stehen, die Ihre Multi-User-Hosts betreffen. Übereinstimmung mit bekannten Benutzern aktiviert, zum Beispiel Regeln, die alle Gruppen betreffen, denen Ihre Multi-User-Hosts angehören. Wenn Übereinstimmung mit bekannten Benutzern für einen Mehrbenutzer-Host aktiviert ist, verarbeitet die Firewall den gesamten Datenverkehr von diesem Host basierend auf dem angemeldeten Benutzer (normalerweise ein Administrator) und verarbeitet keine weiteren Regeln für diesen Host.

4. Legen Sie die Einstellungen fest.

   Einstellung	Wert
   Quellzonen	UND
   Quellnetzwerke und -geräte	Mein_Terminal_Server
   Zielzonen	VAN
   Zielnetzwerke	Beliebig
   Leistungen	Wählen Sie die Dienste aus, die Sie zulassen möchten.
   Übereinstimmung mit bekannten Benutzern	Schalten Sie diese Einstellung aus.

5. Geben Sie alle weiteren für Ihre Umgebung erforderlichen Einstellungen ein. Siehe Hinzufügen einer Firewallregel.

6. Klicken Speichern.

Gehen Sie wie folgt vor, um Firewall-Regeln für eingehenden Mehrbenutzer-Host-Datenverkehr zu erstellen:

1. Wählen IPv4 oder IPv6, wählen Firewallregel hinzufügenund wählen Sie Neue Firewall-Regel.

2. Geben Sie die Regeldetails ein:

   Einstellung	Wert
   Regelname	TS_Inbound
   Regelposition	Spitze
   Aktion	Akzeptieren
   Protokollieren des Firewall-Datenverkehrs	Wählen Sie diese Option aus, um den gesamten Datenverkehr zu protokollieren, der dieser Regel entspricht.

   Warnung

   Die Sophos Firewall wertet die Regeln in der angezeigten Reihenfolge aus, bis sie eine Übereinstimmung findet. Verbindungsspezifische Authentifizierungsregeln müssen vor anderen Regeln stehen, die Ihre Multi-User-Hosts betreffen. Übereinstimmung mit bekannten Benutzern aktiviert, zum Beispiel Regeln, die alle Gruppen betreffen, denen Ihre Multi-User-Hosts angehören. Wenn Übereinstimmung mit bekannten Benutzern für einen Mehrbenutzer-Host aktiviert ist, verarbeitet die Firewall den gesamten Datenverkehr von diesem Host basierend auf dem angemeldeten Benutzer (normalerweise ein Administrator) und verarbeitet keine weiteren Regeln für diesen Host.

3. Legen Sie die Einstellungen fest.

   Einstellung	Wert
   Quellzonen	VAN
   Quellnetzwerke und -geräte	Beliebig
   Zielzonen	UND
   Zielnetzwerke	Mein_Terminal_Server
   Leistungen	Wählen Sie die Dienste aus, die Sie zulassen möchten.
   Übereinstimmung mit bekannten Benutzern	Schalten Sie diese Einstellung aus.

4. Geben Sie alle weiteren für Ihre Umgebung erforderlichen Einstellungen ein. Siehe Hinzufügen einer Firewallregel.

5. Klicken Speichern.

Weitere Informationen

• AD-Server
• IP-Host
• Authentifizierungseinstellungen für direkten Webproxy
• Firewall-Regeln