Web-Authentifizierung
Sie können Active Directory SSO oder das Captive Portal zur Benutzerauthentifizierung verwenden. Benutzer werden dann in Protokollen und Berichten angezeigt und als Übereinstimmungskriterien in Firewall-Regeln und Webrichtlinien verwendet.
Active Directory Single Sign-On (SSO) versucht, bei Endgeräten mit Sophos Firewall angemeldete Benutzer ohne Benutzerinteraktion stillschweigend zu authentifizieren.
Das Captive Portal ist eine Webseite, die von Benutzern hinter der Firewall eine Authentifizierung erfordert, wenn sie auf eine Website zugreifen möchten. Sie können außerdem das Verhalten und Layout des Captive Portals definieren.
Die maximale Passwortlänge für das Captive Portal beträgt 50.
URL des Captive-Portals: https://<IP address of Sophos Firewall>:8090
Nach der Authentifizierung beim Captive Portal ermöglicht Sophos Firewall den Benutzern, zum gewünschten Ziel zu gelangen, oder leitet sie zu einer von Ihnen angegebenen URL um.
Um authentifizierte Benutzer anzuzeigen, gehen Sie zu Aktuelle Aktivitäten > Live-Benutzer.
Notiz
Wenn die Multi-Faktor-Authentifizierung (MFA) konfiguriert ist, müssen sich Benutzer zunächst beim Benutzerportal anmelden und ihr Einmalkennwort (OTP) einrichten. Anschließend können sie sich mit ihrem Kennwort und ihrem OTP-Token beim Captive Portal anmelden. Siehe Einstellungen für die Multi-Faktor-Authentifizierung (MFA).
Autorisieren Sie nicht authentifizierte Benutzer für den Webzugriff
Die Einstellungen, die Sie hier festlegen, werden basierend auf den Firewall-Regeln und den Web-Richtlinien für unbekannte Benutzer und authentifizierte Benutzer und Benutzergruppen implementiert.
Firewall-Regeleinstellung: Verwenden Sie die Webauthentifizierung für unbekannte Benutzer | Verhalten |
---|---|
An | Bei nicht authentifizierten Webanforderungen, die der Firewall-Regel entsprechen, werden die Benutzer authentifiziert. |
Aus | Nicht authentifizierte Anfragen sind zulässig. Wenn die Anfragen aufgrund der Webrichtlinie blockiert werden, werden Benutzer authentifiziert. |
Grund für die Authentifizierung | AD SSO konfiguriert | Verhalten |
---|---|---|
Es gilt die Firewall-Regel. | Ja | Bei nicht authentifizierten Webanforderungen versucht AD SSO, die an Endgeräten angemeldeten Benutzer im Hintergrund zu authentifizieren. Schlägt die Authentifizierung fehl, werden die Anforderungen an das Captive Portal umgeleitet. Nach der Authentifizierung der Benutzer wird die Seite neu geladen und ihre Webrichtlinie überprüft. |
Eine für unbekannte Benutzer oder Gruppen festgelegte Webrichtlinie gilt und ist auf Block. | Ja | |
Es gilt die Firewall-Regel. | NEIN | Wenn nicht authentifizierte Webanforderungen gestellt werden, werden die Anforderungen an das Captive Portal umgeleitet. |
Die Webrichtlinie für unbekannte Benutzer oder Gruppen ist auf Block. | NEIN | Wenn nicht authentifizierte Webanforderungen blockiert werden, wird eine Sperrseite angezeigt. Sie können den Captive-Portal-Link auf der Sperrseite anzeigen. |
Die Sophos Firewall unterstützt zwei AD-SSO-Mechanismen: NTLM und Kerberos. Kerberos ist schneller und sicherer als NTLM, erfordert aber mehr Voraussetzungen.
Option | Beschreibung |
---|---|
Nur NTLM | Schließt nur NTLM in Authentifizierungsheader ein. Verwenden Sie diese Option, wenn Ihre Legacy-Clients keine Kerberos-Header verarbeiten können. |
Kerberos und NTLM | Standard Schließt sowohl NTLM als auch Kerberos in die Authentifizierungsheader ein. Browser wählen den zu verwendenden Mechanismus aus. |
Notiz
Wenn Active Directory konfiguriert ist, können Sie den Zugriff auf AD SSO aus bestimmten Netzwerkzonen aktivieren, zum Beispiel: UND. Gehe zu Verwaltung > Gerätezugriff und wählen Sie die Zonen unter Lokale Dienst-ACL.
Captive-Portal-Verhalten
Geben Sie die Captive-Portal-Einstellungen an.
Link zum Benutzerportal anzeigen
Zeigt den Benutzerportal-Link auf der Captive-Portal-Seite an.
Webseite nach der Anmeldung anzeigen
Leitet Benutzer nach der Authentifizierung auf die von ihnen angeforderte oder eine benutzerdefinierte Seite weiter.
Webseite öffnen
Option | Beschreibung |
---|---|
In einem neuen Browserfenster | Öffnet die Webseite in einem neuen Browserfenster. Die Captive-Portal-Seite bleibt geöffnet. |
Im Captive-Portal-Fenster | Öffnet die Webseite im aktuellen Tab und ersetzt die Captive-Portal-Seite. |
Webseite
Option | Beschreibung |
---|---|
Ursprünglich angefordert vom Benutzer | Öffnet die ursprünglich von den Benutzern angeforderte Webseite, bevor sie zum Captive Portal weitergeleitet wurden. |
Brauch | Geben Sie eine Seite an, zu der die Benutzer weitergeleitet werden. Öffnen Sie beispielsweise nach der Anmeldung eine interne Homepage. |
Benutzer abmelden
Option | Beschreibung |
---|---|
Wenn die Captive-Portal-Seite geschlossen oder umgeleitet wird | Das Captive Portal sendet eine Abmeldenachricht an die Sophos Firewall, wenn der Benutzer auf das Ausloggen Schaltfläche, schließt die Captive-Portal-Seite oder öffnet eine neue Webseite im Browser-Tab des Captive-Portals. Die Captive-Portal-Seite sendet regelmäßig Keepalive-Nachrichten an die Sophos Firewall, um anzuzeigen, dass der Computer weiterhin mit dem Netzwerk verbunden ist. Die Firewall meldet den Benutzer ab, wenn sie keine Keepalive-Nachrichten mehr empfängt. Dies kann passieren, wenn ein Laptop in den Ruhezustand wechselt oder die Netzwerkverbindung trennt. |
Wenn der Benutzer inaktiv ist | Geben Sie an, wie viel Daten innerhalb eines bestimmten Zeitraums übertragen werden dürfen, damit ein Benutzer als aktiv gilt. Die Sophos Firewall meldet den Benutzer ab, wenn er inaktiv ist oder auf das Symbol Ausloggen Taste. |
Niemals | Benutzer werden nie automatisch abgemeldet. Um sich abzumelden, müssen Benutzer auf das Ausloggen Taste. |
Verwenden Sie unsicheres HTTP anstelle von HTTPS
Ermöglicht Benutzern den Zugriff auf das Captive Portal über HTTP.
Wir empfehlen die Verwendung von HTTPS. Die Übertragung unverschlüsselter Passwörter über ein Netzwerk stellt ein erhebliches Sicherheitsrisiko dar.**: Die Sophos Firewall verfügt über ein vorinstalliertes, lokal signiertes HTTPS-Zertifikat. Um Browser-Zertifikatswarnungen zu vermeiden, können Sie dieses durch ein selbst erstelltes (und verteiltes, um das Client-Vertrauen zu gewährleisten) oder von einer Zertifizierungsstelle erworbenes Zertifikat ersetzen.
Um die Änderungen zu speichern, wählen Sie Anwenden.
Notiz
Wenn Sie diese Option auswählen, wird Microsoft Entra ID (Azure AD) SSO nicht unterstützt.
Authentifizierungseinstellungen für direkten Webproxy
Ermöglicht die verbindungsbezogene Authentifizierung für die angegebenen Mehrbenutzerhosts. Ein Mehrbenutzerhost ist ein Endpunkt oder Server, bei dem sich mehrere Benutzer gleichzeitig anmelden können.
Notiz
Wenn Sie Übereinstimmung mit bekannten Benutzern Wenn in Ihrer Firewall-Regel diese Funktion ausgewählt ist, müssen Sie für Ihre Mehrbenutzer-Hosts eine separate Firewall-Regel erstellen und diese Funktion deaktivieren.
Verwenden Sie die AD SSO-Authentifizierung pro Verbindung für Hosts mit mehreren Benutzern
Ermöglicht Ihnen, Mehrbenutzer-Hosts anzugeben, die eine Authentifizierung pro Verbindung verwenden.
Notiz
Wenn Sie diese Option gewählt haben, müssen Sie einen AD-Server auswählen unter Authentifizierung > Leistungen > Firewall-Authentifizierungsmethoden.
Mehrbenutzer-Hosts
Ermöglicht Ihnen, die folgenden Netzwerkobjekttypen auszuwählen, zu erstellen oder zu bearbeiten:
- IP-Hostgruppe
- IP
- IP-Liste
- IP-Bereich
- Netzwerk
Folgendes müssen Sie bei der Konfiguration von Multi-User-Hosts beachten:
- Multi-User-Hosts zugewiesene IP-Adressen verwenden die Authentifizierung pro Verbindung nur für direkte Proxy-Verbindungen.
- Für Multi-User-Hosts zugewiesene IP-Adressen können keine anderen Authentifizierungsmethoden pro IP verwendet werden, beispielsweise STAS, Clientless-Benutzer, Captive Portal, transparentes AD SSO usw.
- Die Sophos Firewall behandelt Verbindungen von IP-Adressen, die Multi-User-Hosts zugewiesen sind und keine direkten Proxy-Verbindungen sind, als nicht authentifiziert.
- Verbindungen von IP-Adressen, die keinen Mehrbenutzer-Hosts zugewiesen sind, verwenden weiterhin die Pro-IP-Authentifizierung basierend auf Ihrer Konfiguration.
Erscheinungsbild des Captive Portals
Sie können das Erscheinungsbild und den Inhalt des Captive Portals anpassen. Sie können beispielsweise Ihr Firmenlogo und Ihren eigenen Text angeben. Wählen Sie die Vorschau Klicken Sie unten auf die Schaltfläche, um zu sehen, wie die Seite für Benutzer aussieht.
Option | Beschreibung |
---|---|
Standardlayout | Verwendet das Standardlayout von Sophos. |
Benutzerdefiniertes HTML | Wählen Sie diese Option, um den HTML- und CSS-Code zu bearbeiten. Sie können auch JavaScript verwenden. Der Code muss die folgenden Elemente enthalten:
|
Standardlogo | Verwendet das Sophos-Logo. |
Benutzerdefiniertes Logo | Wählen Sie Ihr eigenes Logo aus. Laden Sie ein Bild hoch oder geben Sie einen Link zu Ihrem Logo ein. |
HTML-Kopfzeile der Anmeldeseite | Geben Sie den Text ein, der über dem Anmeldefeld angezeigt werden soll. Sie können HTML verwenden. Verwenden Textfarbe für Kopf- und Fußzeile um die Schriftfarbe anzupassen. |
Benutzeraufforderung | Sie können den Standardtext ändern. |
Bezeichnung des Felds „Benutzername“ | Sie können die Beschriftung des Benutzernamenfelds ändern. |
Kennwortfeldbezeichnung | Sie können die Beschriftung des Passwortfelds ändern. |
Beschriftung der Schaltfläche „Anmelden“ | Sie können die Beschriftung der Anmeldeschaltfläche ändern. |
Beschriftung der Schaltfläche „Abmelden“ | Sie können die Beschriftung der Abmeldeschaltfläche ändern. |
Bezeichnung des Benutzerportal-Links | Sie können den Namen des Benutzerportal-Links ändern. |
HTML-Fußzeile der Anmeldeseite | Geben Sie den Text ein, der unter dem Anmeldefeld angezeigt werden soll. Sie können HTML verwenden. Verwenden Textfarbe für Kopf- und Fußzeile um die Schriftfarbe anzupassen. |
Hintergrundfarbe | Sie können die Hintergrundfarbe der gesamten Seite ändern. |
Textfarbe für Kopf- und Fußzeile | Sie können die Schriftfarbe der Kopf- und Fußzeile ändern. Sie ist nur sichtbar, wenn Sie eine Kopf- oder Fußzeile angegeben haben. |
Benutzerdefinierte Logo-Hintergrundfarbe | Sie können die Hintergrundfarbe des Felds ändern, das das Logo enthält. |
Textfarbe der Benutzeraufforderung | Sie können die Schriftfarbe der Benutzeraufforderung ändern. |
Textfarbe des Benutzerportal-Links | Sie können die Schriftfarbe des Benutzerportal-Links ändern. |
Um die Einstellungen zu speichern, wählen Sie Anwenden.
Um benutzerdefinierte Einstellungen zu löschen, wählen Sie Auf Standard zurücksetzen.
Weitere Ressourcen