Visão Geral
Este artigo contém etapas para integrar o STAS em um ambiente com vários controladores Active Directory.
- O que é STAS?
- Autenticação SSO sem cliente
- Configure a autenticação transparente usando STAS
- Configure a autenticação do Active Directory
- Controle o tráfego com base no usuário
- Tolerância a falhas STAS
- Abandone o tempo limite no modo de aprendizagem
- Endereço IP recomendado e exclusões de usuários
- Verificando usuários ao vivo
Aplica-se aos seguintes produtos e versões
Sophos : Sophos Firewall
O que é STAS?
As informações aqui foram movidas para https://docs.sophos.com/nsg/sophos-firewall/18.5/Help/en-us/webhelp/onlinehelp/nsg/sfos/concepts/AuthenticationSTAS.html .
Autenticação SSO clientless
As informações aqui foram movidas para https://docs.sophos.com/nsg/sophos-firewall/18.5/Help/en-us/webhelp/onlinehelp/nsg/sfos/concepts/AuthenticationClientlessSSO.html .
Configure a autenticação transparente usando STAS
As etapas a seguir são abordadas em https://docs.sophos.com/nsg/sophos-firewall/18.5/Help/en-us/webhelp/onlinehelp/nsg/sfos/learningContent/AuthenticationConfigureTransparentAuthenticationSTAS.html .
- Configure a segurança do sistema.
- Instale o STAS.
- Configure o STAS no controlador de domínio primário.
Observação: no controlador de domínio adicional, siga as etapas dois a cinco. Adicione o endereço IP do controlador de domínio primário na caixa Lista de coletores.
- Execute primeiro as etapas de configuração da autenticação do Active Directory antes de seguir as etapas da seção Integrar o STAS ao firewall.
Notas :
- Digite o endereço IP do servidor AD na caixa IP do coletor.
- O nome NetBIOS deve estar em letras maiúsculas.
Configure a autenticação do Active Directory
As etapas a seguir são abordadas em https://docs.sophos.com/nsg/sophos-firewall/18.5/Help/en-us/webhelp/onlinehelp/nsg/sfos/learningContent/AuthenticationConfigureActiveDirectory.html .
- Adicione um servidor Active Directory.
- Importe grupos do Active Directory.
- Defina o método de autenticação principal.
Nota : O nome NetBIOS deve estar em letras maiúsculas.
Controle o tráfego com base no usuário
- Crie uma regra de firewall baseada em identidade acessando Rules and policies >Firewall rules > Add firewall rule > New firewall rule.
- Vá para Administration > Device Access e ative a autenticação do cliente para a zona necessária.
Tolerância a falhas STAS
Opcionalmente, você pode instalar coletores STAS em vários servidores AD para fins de redundância. Se o coletor principal cair, o Firewall Sophos coleta as informações de um dos outros coletores de backup. O Firewall Sophos permite a criação de grupos de coletores para tolerância a falhas. Você pode adicionar no máximo cinco coletores a um único grupo de coletores. Quando vários coletores STAS são adicionados a um único grupo de coletores, um deles agirá como primário, enquanto os outros serão reservados para backup. A preferência do coletor é processada de cima para baixo.
No exemplo abaixo, o coletor ativo para testlab.com (Grupo de Coletores 1) é 192.168.1.10, enquanto 192.168.1.185 serve como um backup caso o coletor ativo fique offline. Domínios ou subdomínios adicionais devem ser incluídos como um grupo de coletores adicional. Por exemplo, o controlador para o subdomínio remote.testlab.com, 192.168.2.20, será adicionado como um coletor independente para o Grupo de Coletores 2.
Abandone o tempo limite no modo de aprendizagem
Quando o Firewall XG detecta tráfego não autenticado de um IP, o STAS colocará este IP no Modo de Aprendizagem e enviará uma solicitação ao coletor para informações do usuário deste IP. Enquanto em um status de aprendizagem, o firewall descarta o tráfego gerado a partir deste IP.
A partir do SFOS versão 17.05 GA, há um novo recurso chamado Restrict client traffic during identity probe. Isso é definido como Sim por padrão, o que resulta no comportamento do Firewall Sophos, conforme explicado acima. Se Restrict client traffic during identity probe estiver definido como Não , o Firewall Sophos permitirá o tráfego não autenticado (durante o Identity probe time-out especificado) e processar esse tráfego não autenticado usando as regras de firewall para tráfego não autenticado de acordo.
Por padrão, o valor de tempo limite de queda de tráfego não autenticado (tempo limite de detecção de identidade ) é 120 segundos. Para verificar este valor, entre no WebAdmin, vá para Autenticação> STAS conforme mostrado na imagem acima, ou entre na Interface de Linha de Comandos (CLI) e escolha a opção 4. Console do Dispositivo e digite o seguinte comando:
system auth cta show
Este tempo limite é configurável, por exemplo, para alterá-lo para 60 segundos, digite o seguinte comando:
system auth cta unauth-traffic drop-period 60
Notas :
- Quando não há resposta do coletor durante o Modo de Aprendizagem, o STAS coloca o IP no status não autenticado por uma hora, ele tentará se conectar novamente após uma hora entrando no Estado de Aprendizagem. Enquanto em um status não autenticado, o Firewall Sophos aplica suas regras de firewall para tráfego não autenticado de acordo.
- Se a rede contiver algum host que não faça parte do domínio, é recomendável criar usuários clientless para esses endereços IP.
Endereço IP recomendado e exclusões de usuários
Recomenda-se que os administradores excluam os endereços IP que executam logins do AD em nome de usuários, como o Microsoft Exchange, da seção da lista de exclusão de login / logoff, bem como excluam usuários do serviço, como sistemas de distribuição de software, coletores de log, etc. , na seção da lista de exclusão de usuário de login do STAS. Caso contrário, quando uma conta de serviço executa uma autenticação AD com um usuário diferente, o STAS irá registrá-la e desconectar o usuário real (real). Isso ocorre da mesma forma para serviços que executam autenticação no DC em nome do usuário.
Isso pode ser configurado na guia STAS Exclusion List .
Verificando usuários ao vivo
Faça isso no aplicativo STAS ou no Firewall Sophos. Siga as etapas na seção Verificar usuários ativos em https://docs.sophos.com/nsg/sophos-firewall/18.5/Help/en-us/webhelp/onlinehelp/nsg/sfos/learningContent/AuthenticationConfigureTransparentAuthenticationSTAS.html .
Use Log Viewer
- Selecione Log Viewer no canto superior direito da interface gráfica do usuário (GUI).
- Selecione Adicionar Filtro e defina o seguinte:
- Field: Log Component
- Condition: is
- Value: Firewall Rule
- Clique em Adicionar filtro .
Supondo que o tráfego do usuário esteja atingindo uma regra de firewall com a opção Match User Identity ativada, seu nome de usuário deve agora refletir na coluna Username.
Para obter mais informações, vá para https://docs.sophos.com/nsg/sophos-firewall/18.5/Help/en-us/webhelp/onlinehelp/nsg/sfos/concepts/LogViewer.html .
Informação relacionada
- Sophos XG Firewall: Clientless Single Sign-On em um ambiente de controlador de domínio Active Directory único
- Sophos XG Firewall: como configurar a detecção de logoff do usuário no STAS usando WMI
- Sophos XG Firewall: como visualizar os registros STAS
- Sophos XG Firewall: Como testar a conectividade no STAS
- Sophos XG Firewall: Como configurar o tempo limite de inatividade para STAS
- Sophos XG Firewall: De onde posso ver os usuários ao vivo no cliente STAS?
- Sophos XG Firewall: como excluir um usuário do SSO no STAS
- Sophos XG Firewall: Como verificar a conectividade entre a máquina do usuário e o servidor de autenticação usando STAS
- Sophos XG Firewall: Como permitir a autenticação Clientless SSO (STAS) em uma VPN
- Sophos XG Firewall: como sincronizar configurações entre duas instalações STAS
- Firewall Sophos: Por que os usuários ativos no cliente STAS não estão sincronizados?
Inscreva-se no Sophos Support Notification Service para obter as informações mais recentes sobre o lançamento do produto e problemas críticos.
do original em: https://support.sophos.com/support/s/article/KB-000035730?language=en_US
