Zur Startseite gehen
0,00 €*

Permalink zur Seite

Verwenden Sie beim Verweisen auf diese Seite stets den folgenden Permalink. Er bleibt in zukünftigen Hilfeversionen unverändert.

https://docs.sophos.com/nsg/sophos-firewall/21.5/Help/en-us/webhelp/onlinehelp/index.html?contextId=authentication-clientless-SSO

Clientlose SSO-Authentifizierung

Clientloses SSO wird mithilfe der Sophos Transparent Authentication Suite implementiert.

Der zugehörige Arbeitsablauf ist folgender:

  1. Der Benutzer meldet sich von einer beliebigen Workstation im LAN am Active Directory-Domänencontroller an. Der Domänencontroller authentifiziert die Anmeldeinformationen des Benutzers.
  2. Active Directory (AD) ruft die Sitzungsinformationen ab und erstellt ein Sicherheitsüberwachungsprotokoll. Bei erfolgreicher Benutzerauthentifizierung erstellt AD ein Ereignis mit der ID 672 (Windows 2003) oder 4768 (Windows 2008 und höher).
  3. Der Agent ruft beim Überwachen des AD-Servers die Sitzungsinformationen aus den oben genannten Ereignis-IDs ab.
  4. Der Agent übermittelt gleichzeitig den Benutzernamen und die IP-Adresse über den Standard-TCP-Port (5566) an den Collector.
  5. Der Collector antwortet, indem er erfolgreiche Authentifizierungsaktualisierungen an die Firewall über UDP-Port 6060 sendet.
  6. Wenn die Firewall Datenverkehr von einer IP-Adresse erkennt, über die sie keine Informationen hat, kann sie den Collector auf Port 6677 abfragen.
  7. Ein Benutzer initiiert eine Internetanfrage.
  8. Die Firewall gleicht die Benutzerinformationen mit ihrer lokalen Benutzerzuordnung ab und wendet die Sicherheitsrichtlinien entsprechend an.

Die Firewall fragt den AD-Server ab, um die Gruppenzugehörigkeit anhand der Daten des STAS-Agenten zu ermitteln. Abhängig von den Daten wird der Zugriff gewährt oder verweigert. Benutzer, die direkt (oder lokal) an einer Workstation angemeldet sind, aber nicht an der Domäne, werden nicht authentifiziert und gelten als nicht authentifizierte Benutzer. Benutzer, die nicht an der Domäne angemeldet sind, müssen sich über das Captive Portal authentifizieren. Siehe Nicht authentifizierter Datenverkehr.

STAS network diagram.

Hilfe benötigt?

Die Anleitung passt nicht zu Ihrer Situation oder funktioniert nicht wie erwartet? Wir stehen Ihnen gern zur Seite, damit Ihre Konfiguration reibungslos funktioniert. Unser zertifiziertes Support-Team hilft Ihnen schnell weiter:

Support-Ticket eröffnen