Zur Startseite gehen
0,00 €*

Konfigurieren der Active Directory-Authentifizierung

Sie können vorhandene Active Directory (AD)-Benutzer zur Sophos Firewall hinzufügen. Fügen Sie einen Active Directory-Server hinzu, importieren Sie Gruppen und legen Sie die primäre Authentifizierungsmethode fest.

Einführung

Sie müssen wie folgt vorgehen:

  • Fügen Sie einen Active Directory-Server auf der Firewall hinzu und konfigurieren Sie ihn.
  • Importieren Sie AD-Gruppen mit dem Assistenten „Gruppe importieren“.
  • Stellen Sie die primäre Authentifizierungsmethode so ein, dass die Firewall zuerst den Active Directory-Server abfragt.

Überblick

In dieser Übersicht wird erläutert, wie die Sophos Firewall Active Directory zur Authentifizierung von Benutzern und zur Verwaltung der Zugriffskontrolle verwendet.

Wenn sich ein Active Directory-Benutzer zum ersten Mal bei der Sophos Firewall anmeldet, wird er automatisch der Standardgruppe hinzugefügt. Wenn die Active Directory-Gruppe des Benutzers in der Sophos Firewall vorhanden ist, wird er dieser Gruppe hinzugefügt.

Wenn sich ein Benutzer bei der Sophos Firewall anmeldet, wird er anhand der bei der Integration mit Active Directory erstellten Benutzerliste authentifiziert. Nach der Authentifizierung kommuniziert die Sophos Firewall mit Active Directory, um zusätzliche Autorisierungsdaten für die Zugriffskontrolle abzurufen.

Wenn Ihr Active Directory-Server ausgefallen ist, gibt die Authentifizierungsanfrage eine Wrong username/password Nachricht.

Wenn Sie mehrere Active Directory-Server konfiguriert haben, führt Sophos Firewall eine Validierung anhand Ihrer Active Directory-Server in der in der Webadministrationskonsole konfigurierten Reihenfolge durch.

Video: Active Directory-Integration

Das folgende Video zeigt, wie Sie einen AD-Server integrieren.

Hinzufügen eines Active Directory-Servers

Zuerst fügen Sie einen Active Directory-Server hinzu, der eine Suchabfrage enthält.

Zum Abschließen dieser Aufgabe benötigen Sie die folgenden Informationen:

  • Domänenname
  • NetBIOS-Domäne
  • Active Directory-Serverkennwort

Überprüfen Sie die Eigenschaften des Active Directory-Servers. Gehen Sie unter Microsoft Windows beispielsweise zu den Windows-Verwaltungstools.

Suchanfragen basieren auf dem Domänennamen (DN). In diesem Beispiel lautet der Domänenname sophos.com, daher lautet die Suchanfrage: dc=sophos,dc=com.

  1. Gehe zu Authentifizierung > Server und klicken Sie auf Hinzufügen.

  2. Legen Sie die Einstellungen fest.

    Notiz

    Verwenden Sie für hier nicht aufgeführte Einstellungen den Standardwert.

    Verwenden Sie das auf dem Active Directory-Server konfigurierte Kennwort.

    Einstellung Wert
    Servertyp Aktives Verzeichnis
    Servername Mein_AD_Server
    Server-IP/Domäne 192.168.1.100
    NetBIOS-Domäne Sophos
    ADS-Benutzername Administrator
    Passwort <AD server password>
    Domänenname sophos.com
    Suchanfragen dc=sophos,dc=com

    Tipp

    Jedes domänengebundene Benutzerkonto kann die AD-Gruppenmitgliedschaft abfragen, suchen und lesen. Diese Rechte reichen aus, um Gruppen vom AD-Server zu importieren.

  3. Klicken Verbindung testen um die Benutzeranmeldeinformationen zu validieren und die Verbindung zum Server zu überprüfen.

    Notiz

    Wenn sowohl die synchronisierte Benutzer-ID als auch STAS konfiguriert sind, verwendet der Authentifizierungsserver den Mechanismus, von dem er zuerst die Anmeldeanforderung erhält.

  4. Klicken Speichern.

Active Directory-Gruppen importieren

Importieren Sie Active Directory-Gruppen in die Firewall und legen Sie Richtlinien für sie fest.

  1. Gehe zu Authentifizierung > Server und klicken Sie auf Importieren Import button..

    Import AD group.

  2. Klicken Sie im Assistenten „Gruppe importieren“ auf Start.

  3. Wählen Sie den Basis-DN für Gruppen aus.

    Import Base DN in the import group wizard.

  4. Wählen Sie die zu importierenden AD-Gruppen aus.

    Select AD groups to import.

  5. Wählen Sie gemeinsame Richtlinien für Gruppen aus.

    Select common policies for groups.

  6. Auswahl überprüfen.

  7. Ergebnisse anzeigen.
  8. Gehe zu Authentifizierung > Gruppen und überprüfen Sie die kürzlich importierten Gruppen.

Konfigurieren Sie eine Firewall-Regel, um den Internetzugriff zuzulassen

Sie können eine Firewall-Regel konfigurieren, um den Internetzugriff zuzulassen. In diesem Beispiel haben wir drei Gruppen importiert: Gruppe A, Gruppe B und Gruppe C.

Active Directory groups imported into Sophos Firewall.

  1. Erstellen Sie eine Firewall-Regel, um den Internetzugriff für Ihre kürzlich importierten Gruppen (Gruppe A, Gruppe B und Gruppe C) zu steuern. Siehe Hinzufügen einer Firewallregel.
  2. Wählen Übereinstimmung mit bekannten Benutzern.
  3. Wählen Verwenden Sie die Webauthentifizierung für unbekannte Benutzer.
  4. Wählen Sie die von uns importierten Beispielgruppen (Gruppe A, Gruppe B, Gruppe C) aus.

  5. Klicken Speichern.

    Siehe das Beispiel einer Firewall-Regel unten.

    Firewall rule for recently imported groups.

Primäre Authentifizierungsmethode festlegen

Um zuerst den Active Directory-Server abzufragen, legen Sie ihn als primäre Authentifizierungsmethode fest. Wenn sich Benutzer zum ersten Mal bei der Firewall anmelden, werden sie automatisch als Mitglied der angegebenen Standardgruppe hinzugefügt.

Notiz

AD-Benutzer müssen sich einmal bei der Firewall anmelden, um in Gruppen angezeigt zu werden.

  1. Gehe zu Authentifizierung > Leistungen.
  2. In der Liste der Authentifizierungsserver unter Firewall-Authentifizierungsmethoden, wählen Sie My_AD_Server.

  3. Verschiebt den Server an die erste Position in der Liste der ausgewählten Server.

    Authentication servers.

  4. Klicken Anwenden.

Gehe zu Authentifizierung > Gruppen und überprüfen Sie die importierten Gruppen.

Unsere Website benutzt Cookies, die für den technischen Betrieb der Website erforderlich sind und stets gesetzt werden. Andere Cookies, die den Komfort bei Benutzung dieser Website erhöhen, der Direktwerbung dienen oder die Interaktion mit anderen Websites und sozialen Netzwerken vereinfachen sollen, werden nur mit Ihrer Zustimmung gesetzt. Zur Datenschutzerklärung