Webauthentifizierung
Sie können Active Directory SSO oder das Captive Portal zur Benutzerauthentifizierung verwenden. Die Benutzer werden anschließend in Protokollen und Berichten angezeigt und als Abgleichskriterien in Firewallregeln und Webrichtlinien verwendet.
Active Directory Single Sign-On (SSO) versucht, Benutzer, die sich an Endgeräten mit Sophos Firewall angemeldet haben, ohne Benutzerinteraktion im Hintergrund zu authentifizieren.
Das Captive Portal ist eine Webseite, die von Benutzern hinter der Firewall eine Authentifizierung erfordert, wenn sie auf eine Webseite zugreifen möchten. Sie können außerdem das Verhalten und das Layout des Captive Portals festlegen.
Die maximale Länge von Benutzername und Passwort für das Captive Portal beträgt 50 Zeichen.
URL des Captive Portals: https://<IP address of Sophos Firewall>:8090
Nach der Authentifizierung über das Captive Portal ermöglicht die Sophos Firewall den Benutzern, zum gewünschten Ziel zu gelangen, oder leitet sie auf eine von Ihnen angegebene URL um.
Um authentifizierte Benutzer anzuzeigen, gehen Sie zu Aktuelle Aktivitäten > Live-Nutzer.
Notiz
Wenn die Multi-Faktor-Authentifizierung (MFA) konfiguriert ist, müssen sich Benutzer zunächst im Benutzerportal anmelden und ihr Einmalpasswort (OTP) einrichten. Anschließend können sie sich mit ihrem Passwort und dem OTP-Token im Captive Portal anmelden. Siehe Einstellungen für die Multi-Faktor-Authentifizierung (MFA).
Nicht authentifizierte Benutzer für den Webzugriff autorisieren
Die hier von Ihnen angegebenen Einstellungen werden auf Grundlage der Firewall-Regeln und der Webrichtlinien für unbekannte Benutzer und authentifizierte Benutzer sowie Benutzergruppen umgesetzt.
| Firewall-Regeleinstellung: Verwenden Sie die Webauthentifizierung für unbekannte Benutzer | Verhalten |
|---|---|
| An | Bei nicht authentifizierten Webanfragen, die der Firewall-Regel entsprechen, werden die Benutzer authentifiziert. |
| Aus | Nicht authentifizierte Anfragen sind zulässig. Falls die Anfragen aufgrund der Webrichtlinien blockiert werden, werden die Benutzer authentifiziert. |
| Grund für die Authentifizierung | AD SSO konfiguriert | Verhalten |
|---|---|---|
| Firewall-Regel greift. | Ja | Bei nicht authentifizierten Webanfragen versucht AD SSO, die an Endgeräten angemeldeten Benutzer im Hintergrund zu authentifizieren. Schlägt die Authentifizierung fehl, werden die Anfragen an das Captive Portal umgeleitet. Nach erfolgreicher Authentifizierung wird die Seite neu geladen und die Webrichtlinie des Benutzers erneut ausgewertet. |
| Eine für unbekannte Benutzer oder Gruppen festgelegte Webrichtlinie gilt und ist wie folgt eingestellt: Block. | Ja | |
| Firewall-Regel greift. | NEIN | Bei nicht authentifizierten Webanfragen werden diese an das Captive Portal umgeleitet. |
| Die Webrichtlinie für unbekannte Benutzer oder Gruppen ist wie folgt festgelegt: Block. | NEIN | Wenn nicht authentifizierte Webanfragen blockiert werden, wird eine Blockseite angezeigt. Auf dieser Blockseite kann der Link zum Captive Portal angezeigt werden. |
Die Sophos Firewall unterstützt zwei AD-SSO-Mechanismen: NTLM und Kerberos. Kerberos ist schneller und sicherer als NTLM, hat aber mehr Voraussetzungen.
| Option | Beschreibung |
|---|---|
| NTLM-nativ | Beinhaltet ausschließlich NTLM in den Authentifizierungsheadern. Verwenden Sie diese Option, wenn Sie ältere Clients haben, die keine Kerberos-Header verarbeiten können. |
| Kerberos & NTLM | Standard Beinhaltet sowohl NTLM als auch Kerberos in den Authentifizierungsheadern. Browser wählen den zu verwendenden Mechanismus aus. |
Notiz
Wenn Active Directory konfiguriert ist, können Sie den Zugriff auf AD SSO aus bestimmten Netzwerkzonen aktivieren, zum Beispiel UND: Gehe zu Verwaltung > Gerätezugriff und wählen Sie die Zonen unter Lokaler Dienst ACL.
Captive-Portal-Verhalten
Legen Sie die Einstellungen für das Captive Portal fest.
Notiz
Wenn Sie über ein Dual-Stack-Netzwerk mit IPv4- und IPv6-Adressierung verfügen, müssen sich die Benutzer für IPv4- und IPv6-Websites separat anmelden.
Link zum Benutzerportal anzeigen
Zeigt den Link zum Benutzerportal auf der Captive-Portal-Seite an.
Webseite nach Anmeldung anzeigen
Leitet Benutzer nach der Authentifizierung auf die von ihnen angeforderte Seite oder eine benutzerdefinierte Seite weiter.
Webseite öffnen
| Option | Beschreibung |
|---|---|
| In einem neuen Browserfenster | Die Webseite wird in einem neuen Browserfenster geöffnet. Die Captive-Portal-Seite bleibt geöffnet. |
| Im Captive-Portal-Fenster | Öffnet die Webseite im aktuellen Tab und ersetzt die Captive-Portal-Seite. |
Webseite
| Option | Beschreibung |
|---|---|
| Ursprünglich angefordert von Benutzer | Öffnet die Webseite, die die Benutzer ursprünglich angefordert hatten, bevor sie zum Captive Portal weitergeleitet wurden. |
| Brauch | Geben Sie eine Seite an, zu der die Benutzer weitergeleitet werden. Öffnen Sie beispielsweise nach der Anmeldung eine interne Startseite. |
Benutzer abmelden
| Option | Beschreibung |
|---|---|
| Wenn die Captive-Portal-Seite geschlossen oder weitergeleitet wird | Das Captive Portal sendet eine Abmeldenachricht an die Sophos Firewall, wenn der Benutzer auf die entsprechende Schaltfläche klickt. Abmelden Mit dieser Schaltfläche wird die Captive-Portal-Seite geschlossen oder eine neue Webseite im Browser-Tab des Captive Portals geöffnet. Die Captive-Portal-Seite sendet regelmäßig Keepalive-Nachrichten an die Sophos-Firewall, um anzuzeigen, dass der Computer noch mit dem Netzwerk verbunden ist. Die Firewall meldet den Benutzer ab, sobald sie keine Keepalive-Nachrichten mehr empfängt. Dies kann beispielsweise passieren, wenn ein Laptop in den Ruhemodus wechselt oder die Netzwerkverbindung getrennt wird. |
| Wenn der Benutzer inaktiv ist | Legen Sie fest, ab welchem Datentransfervolumen innerhalb eines bestimmten Zeitraums ein Benutzer als aktiv gilt. Die Sophos Firewall meldet den Benutzer ab, wenn dieser inaktiv ist oder auf die entsprechende Schaltfläche klickt. Abmelden Taste. |
| Niemals | Benutzer werden niemals automatisch abgemeldet. Zum Abmelden müssen Benutzer auf die entsprechende Schaltfläche klicken. Abmelden Taste. |
Verwenden Sie das unsichere HTTP-Protokoll anstelle von HTTPS.
Ermöglicht Benutzern den Zugriff auf das Captive Portal über HTTP.
Wir empfehlen die Verwendung von HTTPS. Die Übertragung unverschlüsselter Passwörter über ein Netzwerk stellt ein erhebliches Sicherheitsrisiko dar.**: Die Sophos Firewall wird mit einem vorinstallierten, lokal signierten HTTPS-Zertifikat ausgeliefert. Um Browser-Zertifikatwarnungen zu vermeiden, können Sie dieses durch ein selbst erstelltes (und zur Gewährleistung des Client-Vertrauens verteiltes) oder von einer Zertifizierungsstelle erworbenes Zertifikat ersetzen.
Um die Änderungen zu speichern, wählen Sie aus Anwenden.
Notiz
Microsoft Entra ID (Azure AD) SSO wird nicht unterstützt, wenn Sie diese Option auswählen.
Authentifizierungseinstellungen für den direkten Webproxy
Ermöglicht die Authentifizierung pro Verbindung für die angegebenen Mehrbenutzer-Hosts. Ein Mehrbenutzer-Host ist ein Endpunkt oder Server, an dem sich mehrere Benutzer gleichzeitig anmelden können.
Notiz
Wenn Sie haben Bekannte Benutzer abgleichen Wenn diese Funktion in Ihrer Firewall-Regel deaktiviert ist, müssen Sie für Ihre Multi-User-Hosts eine separate Firewall-Regel erstellen, in der diese Funktion deaktiviert ist.
Verwenden Sie die AD-SSO-Authentifizierung pro Verbindung für Hosts mit mehreren Benutzern.
Ermöglicht die Angabe von Multi-User-Hosts, die eine Authentifizierung pro Verbindung verwenden.
Notiz
Wenn Sie diese Option ausgewählt haben, müssen Sie unter einen AD-Server auswählen. Authentifizierung > Dienstleistungen > Firewall-Authentifizierungsmethoden.
Multi-User-Hosts
Ermöglicht Ihnen die Auswahl, Erstellung oder Bearbeitung der folgenden Netzwerkobjekttypen:
- IP-Hostgruppe
- IP
- IP-Liste
- IP-Bereich
- Netzwerk
Bei der Konfiguration von Mehrbenutzer-Hosts müssen Sie Folgendes beachten:
- IP-Adressen, die Mehrbenutzer-Hosts zugewiesen sind, verwenden ausschließlich die verbindungsbezogene Authentifizierung für direkte Proxy-Verbindungen.
- IP-Adressen, die Multi-User-Hosts zugewiesen sind, können keine anderen Authentifizierungsmethoden pro IP-Adresse verwenden, z. B. STAS, Clientless User, Captive Portal, Transparent AD SSO usw.
- Die Sophos Firewall behandelt Verbindungen von IP-Adressen, die Mehrbenutzer-Hosts zugewiesen sind und keine direkten Proxy-Verbindungen darstellen, als nicht authentifiziert.
- Verbindungen von IP-Adressen, die nicht Mehrbenutzer-Hosts zugewiesen sind, verwenden weiterhin die IP-Authentifizierung gemäß Ihrer Konfiguration.
Erscheinungsbild des Captive Portals
Sie können das Erscheinungsbild und den Inhalt des Captive Portals anpassen. Beispielsweise können Sie Ihr Firmenlogo und einen individuellen Text festlegen. Wählen Sie die Vorschau Klicken Sie auf die Schaltfläche unten, um zu sehen, wie die Seite für die Benutzer aussehen wird.
| Option | Beschreibung |
|---|---|
| Standardlayout | Verwendet das Standardlayout von Sophos. |
| Benutzerdefiniertes HTML | Wählen Sie diese Option, um den HTML- und CSS-Code zu bearbeiten. Sie können auch JavaScript verwenden. Der Code muss folgende Elemente enthalten:
|
| Standardlogo | Verwendet das Sophos-Logo. |
| Benutzerdefiniertes Logo | Wählen Sie diese Option, um Ihr eigenes Logo zu verwenden. Laden Sie ein Bild hoch oder geben Sie einen Link zu Ihrem Logo ein. |
| HTML-Header der Anmeldeseite | Geben Sie den Text ein, der über dem Anmeldefeld angezeigt werden soll. Sie können HTML verwenden. Verwenden Textfarbe in Kopf- und Fußzeile Die Schriftfarbe anpassen. |
| Benutzeraufforderung | Sie können den Standardtext ändern. |
| Feldbezeichnung „Benutzername“ | Sie können die Bezeichnung des Feldes „Benutzername“ ändern. |
| Bezeichnung des Passwortfelds | Sie können die Bezeichnung des Passwortfelds ändern. |
| Beschriftung der Anmeldeschaltfläche | Sie können die Beschriftung der Anmeldeschaltfläche ändern. |
| Beschriftung der Abmeldeschaltfläche | Sie können die Beschriftung der Abmeldeschaltfläche ändern. |
| Linkbezeichnung für das Benutzerportal | Sie können den Namen des Benutzerportal-Links ändern. |
| HTML-Fußzeile der Anmeldeseite | Geben Sie den Text ein, der unterhalb des Anmeldefelds angezeigt werden soll. Sie können HTML verwenden. Verwenden Textfarbe in Kopf- und Fußzeile Die Schriftfarbe anpassen. |
| Hintergrundfarbe | Sie können die Hintergrundfarbe der gesamten Seite ändern. |
| Textfarbe in Kopf- und Fußzeile | Sie können die Schriftfarbe der Kopf- und Fußzeile ändern. Diese ist nur sichtbar, wenn Sie eine Kopf- oder Fußzeile angegeben haben. |
| Benutzerdefinierte Logo-Hintergrundfarbe | Sie können die Hintergrundfarbe des Feldes ändern, das das Logo enthält. |
| Textfarbe der Benutzeraufforderung | Sie können die Schriftfarbe der Benutzeraufforderung ändern. |
| Textfarbe des Links im Benutzerportal | Sie können die Schriftfarbe des Links zum Benutzerportal ändern. |
Um die Einstellungen zu speichern, wählen Sie Anwenden.
Um benutzerdefinierte Einstellungen zu löschen, wählen Sie Folgendes aus: Auf Standardeinstellungen zurücksetzen.