Zur Startseite gehen
0,00 €*

Permalink zur Seite

Verwenden Sie beim Verweisen auf diese Seite stets den folgenden Permalink. Er bleibt in zukünftigen Hilfeversionen unverändert.

https://docs.sophos.com/nsg/sophos-firewall/21.5/Help/en-us/webhelp/onlinehelp/index.html?contextId=central-security-heartbeat-synchronize-user-ID-authentication

Synchronisierte Benutzer-ID-Authentifizierung

Die synchronisierte Benutzer-ID-Authentifizierung verwendet den Security Heartbeat zur Benutzerauthentifizierung für Endpunktbenutzer.

Die synchronisierte Benutzer-ID funktioniert mit Active Directory (AD), das als Authentifizierungsserver in der Firewall konfiguriert ist, und wird derzeit unter Windows 10 unterstützt. Weder auf dem Server noch auf den Clients sind Agenten erforderlich, und es werden keine Kennwortinformationen weitergegeben oder verwendet. Die synchronisierte Benutzer-ID ist nicht mit anderen Verzeichnisdiensten kompatibel und erkennt keine lokalen Benutzer. Sie teilt die Domänenbenutzerkontoinformationen des Endgeräts, an dem der Benutzer angemeldet ist, über Security Heartbeat mit der Firewall. Die Firewall überprüft anschließend das Benutzerkonto anhand des konfigurierten AD-Servers und aktiviert den Benutzer.

Sophos Endpoint Protection übermittelt Windows-Anmeldeinformationen an die Firewall. Die Firewall nutzt diese Informationen zur Authentifizierung gegenüber Active Directory. Diese Authentifizierung dient der Auslösung benutzerbasierter Richtlinien und der allgemeinen Benutzerauthentifizierung auf der Firewall.

Verfahren

Der synchronisierte Benutzer-ID-Authentifizierungsprozess läuft wie folgt ab:

  1. Benutzer melden sich bei Windows mit ihren Domänenanmeldeinformationen an, bestehend aus Benutzername, Passwort und Domänenname.
  2. Der Heartbeat-Daemon der Firewall empfängt den Heartbeat-Status der Clients zusammen mit dem Domänennamen und dem Benutzernamen. Die Domäne wird aus dem Benutzerprinzipalname (UPN) des AD-Datensatzes des Benutzers, und der Benutzername wird aus dem sAMAccountName.
  3. Die Firewall prüft anhand der Domäne, welcher AD-Server für die Bearbeitung dieser Anmeldeanfrage zuständig ist, und sucht in der Benutzerdatenbank der Firewall nach dem korrekten Benutzernamen.
  4. Der Heartbeat-Daemon leitet die Benutzeranmeldeanfrage an den Active Directory-Server weiter.
  5. Der angemeldete Benutzer wird auf der Live-Benutzerseite angezeigt.

Wenn ein Endpunkt-Heartbeat ausfällt oder fehlt, beispielsweise wenn ein Endpunkt in den Ruhemodus wechselt, meldet der Heartbeat-Daemon den Benutzer als synchronisierten Benutzer von der Firewall ab. Andere Endpunkt-Authentifizierungsmechanismen können jedoch weiterhin greifen. Der Datenverkehr vom Endpunkt kann unterbrochen werden, bis sich der Benutzer erneut anmeldet.

Anforderungen

Damit die synchronisierte Benutzer-ID-Authentifizierung funktioniert, müssen folgende Bedingungen erfüllt sein:

  • Ein Sophos Central-Konto muss mit der Firewall verknüpft sein.
  • Die Firewall muss für die AD-Authentifizierung mit dem Domänencontroller verbunden sein.
  • Die Benutzer im Sophos Central-Konto müssen dasselbe Profil haben. Beispielsweise muss das Benutzerprofil in Sophos Central Admin die E-Mail-Adresse enthalten, die auf der Firewall und in Active Directory verwendet wird.
  • Verwenden Sie für die lokalen Benutzer in der Firewall dieselbe E-Mail-Adresse, die im Sophos Central-Konto definiert ist.
  • In Active Directory muss der Domänenteil des UPN exakt mit der für Ihren AD-Server in der Firewall konfigurierten Domäne übereinstimmen.

Notiz

  • Sie müssen keinen Agenten auf dem Server oder den Benutzergeräten installieren.
  • Die Sophos Firewall gibt das Passwort nicht weiter und verwendet es auch nicht.
  • Die synchronisierte Benutzer-ID-Authentifizierung unterstützt keine Geräte, die durch Server Protection geschützt sind.
  • Die synchronisierte Benutzer-ID-Authentifizierung erkennt lokale Benutzer nicht.

Deaktivieren Sie die synchronisierte Benutzer-ID-Authentifizierung.

Die synchronisierte Benutzer-ID-Authentifizierung ist standardmäßig aktiviert. Um sie zu deaktivieren, gehen Sie wie folgt vor:

  1. Greifen Sie auf die erweiterte Shell zu.

  2. Führen Sie einen der folgenden Befehle aus:

    • Damit es auch nach einem Neustart der Firewall deaktiviert bleibt: touch /content/no_userid
    • Es soll nur so lange ausgeschaltet bleiben, bis die Firewall neu startet: touch /tmp/no_userid

  3. Um den Zugriffsserverdienst neu zu starten, führen Sie folgenden Befehl aus: service access_server:restart -ds nosync

Warnung

Die Statusänderung wird nicht in Backups gespeichert. Sie müssen die Funktion erneut deaktivieren, wenn Sie ein Backup wiederherstellen.

Aktivieren Sie die synchronisierte Benutzer-ID-Authentifizierung.

Um die synchronisierte Benutzer-ID-Authentifizierung zu aktivieren, gehen Sie wie folgt vor:

  1. Greifen Sie auf die erweiterte Shell zu.
  2. Um die Funktion zu aktivieren, führen Sie folgenden Befehl aus: rm /content/no_userid
  3. Um den Zugriffsserverdienst neu zu starten, führen Sie folgenden Befehl aus: service access_server:restart -ds nosync

Notiz

Wenn ein HA-Cluster konfiguriert ist, müssen Sie die synchronisierte Benutzer-ID-Authentifizierung auf beiden Geräten des HA-Clusters ein- oder ausschalten.

Hilfe benötigt?

Die Anleitung passt nicht zu Ihrer Situation oder funktioniert nicht wie erwartet? Wir stehen Ihnen gern zur Seite, damit Ihre Konfiguration reibungslos funktioniert. Unser zertifiziertes Support-Team hilft Ihnen schnell weiter:

Support-Ticket eröffnen