Konfigurieren der Active Directory-Authentifizierung
Sie können vorhandene Active Directory (AD)-Benutzer zur Sophos Firewall hinzufügen. Fügen Sie einen Active Directory-Server hinzu, importieren Sie Gruppen und legen Sie die primäre Authentifizierungsmethode fest.
Einführung
Sie müssen wie folgt vorgehen:
- Fügen Sie einen Active Directory-Server auf der Firewall hinzu und konfigurieren Sie ihn.
- Importieren Sie AD-Gruppen mit dem Assistenten „Gruppe importieren“.
- Stellen Sie die primäre Authentifizierungsmethode so ein, dass die Firewall zuerst den Active Directory-Server abfragt.
Überblick
In dieser Übersicht wird erläutert, wie die Sophos Firewall Active Directory zur Authentifizierung von Benutzern und zur Verwaltung der Zugriffskontrolle verwendet.
Wenn sich ein Active Directory-Benutzer zum ersten Mal bei der Sophos Firewall anmeldet, wird er automatisch der Standardgruppe hinzugefügt. Wenn die Active Directory-Gruppe des Benutzers in der Sophos Firewall vorhanden ist, wird er dieser Gruppe hinzugefügt.
Wenn sich ein Benutzer bei der Sophos Firewall anmeldet, wird er anhand der bei der Integration mit Active Directory erstellten Benutzerliste authentifiziert. Nach der Authentifizierung kommuniziert die Sophos Firewall mit Active Directory, um zusätzliche Autorisierungsdaten für die Zugriffskontrolle abzurufen.
Wenn Ihr Active Directory-Server ausgefallen ist, gibt die Authentifizierungsanfrage eine Wrong username/password
Nachricht.
Wenn Sie mehrere Active Directory-Server konfiguriert haben, führt Sophos Firewall eine Validierung anhand Ihrer Active Directory-Server in der in der Webadministrationskonsole konfigurierten Reihenfolge durch.
Video: Active Directory-Integration
Das folgende Video zeigt, wie Sie einen AD-Server integrieren.
Hinzufügen eines Active Directory-Servers
Zuerst fügen Sie einen Active Directory-Server hinzu, der eine Suchabfrage enthält.
Zum Abschließen dieser Aufgabe benötigen Sie die folgenden Informationen:
- Domänenname
- NetBIOS-Domäne
- Active Directory-Serverkennwort
Überprüfen Sie die Eigenschaften des Active Directory-Servers. Gehen Sie unter Microsoft Windows beispielsweise zu den Windows-Verwaltungstools.
Suchanfragen basieren auf dem Domänennamen (DN). In diesem Beispiel lautet der Domänenname sophos.com
, daher lautet die Suchanfrage: dc=sophos,dc=com
.
- Gehe zu Authentifizierung > Server und klicken Sie auf Hinzufügen.
-
Legen Sie die Einstellungen fest.
Notiz
Verwenden Sie für hier nicht aufgeführte Einstellungen den Standardwert.
Verwenden Sie das auf dem Active Directory-Server konfigurierte Kennwort.
Einstellung Wert Servertyp Aktives Verzeichnis Servername Mein_AD_Server Server-IP/Domäne 192.168.1.100 NetBIOS-Domäne Sophos ADS-Benutzername Administrator Passwort <AD server password> Domänenname sophos.com Suchanfragen dc=sophos,dc=com Tipp
Jedes domänengebundene Benutzerkonto kann die AD-Gruppenmitgliedschaft abfragen, suchen und lesen. Diese Rechte reichen aus, um Gruppen vom AD-Server zu importieren.
-
Klicken Verbindung testen um die Benutzeranmeldeinformationen zu validieren und die Verbindung zum Server zu überprüfen.
Notiz
Wenn sowohl die synchronisierte Benutzer-ID als auch STAS konfiguriert sind, verwendet der Authentifizierungsserver den Mechanismus, von dem er zuerst die Anmeldeanforderung erhält.
-
Klicken Speichern.
Active Directory-Gruppen importieren
Importieren Sie Active Directory-Gruppen in die Firewall und legen Sie Richtlinien für sie fest.
-
Gehe zu Authentifizierung > Server und klicken Sie auf Importieren
.
-
Klicken Sie im Assistenten „Gruppe importieren“ auf Start.
-
Wählen Sie den Basis-DN für Gruppen aus.
-
Wählen Sie die zu importierenden AD-Gruppen aus.
-
Wählen Sie gemeinsame Richtlinien für Gruppen aus.
-
Auswahl überprüfen.
- Ergebnisse anzeigen.
- Gehe zu Authentifizierung > Gruppen und überprüfen Sie die kürzlich importierten Gruppen.
Konfigurieren Sie eine Firewall-Regel, um den Internetzugriff zuzulassen
Sie können eine Firewall-Regel konfigurieren, um den Internetzugriff zuzulassen. In diesem Beispiel haben wir drei Gruppen importiert: Gruppe A, Gruppe B und Gruppe C.
- Erstellen Sie eine Firewall-Regel, um den Internetzugriff für Ihre kürzlich importierten Gruppen (Gruppe A, Gruppe B und Gruppe C) zu steuern. Siehe Hinzufügen einer Firewallregel.
- Wählen Übereinstimmung mit bekannten Benutzern.
- Wählen Verwenden Sie die Webauthentifizierung für unbekannte Benutzer.
- Wählen Sie die von uns importierten Beispielgruppen (Gruppe A, Gruppe B, Gruppe C) aus.
-
Klicken Speichern.
Siehe das Beispiel einer Firewall-Regel unten.
Primäre Authentifizierungsmethode festlegen
Um zuerst den Active Directory-Server abzufragen, legen Sie ihn als primäre Authentifizierungsmethode fest. Wenn sich Benutzer zum ersten Mal bei der Firewall anmelden, werden sie automatisch als Mitglied der angegebenen Standardgruppe hinzugefügt.
Notiz
AD-Benutzer müssen sich einmal bei der Firewall anmelden, um in Gruppen angezeigt zu werden.
- Gehe zu Authentifizierung > Leistungen.
- In der Liste der Authentifizierungsserver unter Firewall-Authentifizierungsmethoden, wählen Sie My_AD_Server.
-
Verschiebt den Server an die erste Position in der Liste der ausgewählten Server.
-
Klicken Anwenden.
Gehe zu Authentifizierung > Gruppen und überprüfen Sie die importierten Gruppen.