KB 0000357303: Sophos Firewall: Implementando SSO clientless com vários controladores de domínio Active Directory

Visão Geral 

Este artigo contém etapas para integrar o STAS em um ambiente com vários controladores Active Directory.

  • O que é STAS?
  • Autenticação SSO sem cliente
  • Configure a autenticação transparente usando STAS
  • Configure a autenticação do Active Directory
  • Controle o tráfego com base no usuário
  • Tolerância a falhas STAS
  • Abandone o tempo limite no modo de aprendizagem
  • Endereço IP recomendado e exclusões de usuários
  • Verificando usuários ao vivo

Aplica-se aos seguintes produtos e versões
Sophos : Sophos Firewall

O que é STAS?

As informações aqui foram movidas para  https://docs.sophos.com/nsg/sophos-firewall/18.5/Help/en-us/webhelp/onlinehelp/nsg/sfos/concepts/AuthenticationSTAS.html .

Autenticação SSO clientless

tidy_fix_alt

As informações aqui foram movidas para  https://docs.sophos.com/nsg/sophos-firewall/18.5/Help/en-us/webhelp/onlinehelp/nsg/sfos/concepts/AuthenticationClientlessSSO.html .

Configure a autenticação transparente usando STAS

As etapas a seguir são abordadas em  https://docs.sophos.com/nsg/sophos-firewall/18.5/Help/en-us/webhelp/onlinehelp/nsg/sfos/learningContent/AuthenticationConfigureTransparentAuthenticationSTAS.html .

  1. Configure a segurança do sistema.
  2. Instale o STAS.
  3. Configure o STAS no controlador de domínio primário.

    Observação: no controlador de domínio adicional, siga as etapas dois a cinco. Adicione o endereço IP do controlador de domínio primário na caixa Lista de coletores.
     
  4. Execute primeiro as   etapas de configuração da autenticação do Active Directory antes de seguir as etapas da seção Integrar o STAS ao firewall.

    Notas :
     
    • Digite o endereço IP do servidor AD na caixa IP do coletor.
    • O nome NetBIOS deve estar em letras maiúsculas.

Configure a autenticação do Active Directory

As etapas a seguir são abordadas em  https://docs.sophos.com/nsg/sophos-firewall/18.5/Help/en-us/webhelp/onlinehelp/nsg/sfos/learningContent/AuthenticationConfigureActiveDirectory.html .

  1. Adicione um servidor Active Directory.
  2. Importe grupos do Active Directory.
  3. Defina o método de autenticação principal.

Nota : O nome NetBIOS deve estar em letras maiúsculas.

Controle o tráfego com base no usuário

  1. Crie uma regra de firewall baseada em identidade acessando  Rules and policies >Firewall rules > Add firewall rule > New firewall rule.

    Traffic1.jpg

     
  2. Vá para Administration > Device Access e ative a  autenticação do cliente para a zona necessária.

    Traffic2.jpg

Tolerância a falhas STAS

Opcionalmente, você pode instalar coletores STAS em vários servidores AD para fins de redundância. Se o coletor principal cair, o Firewall Sophos coleta as informações de um dos outros coletores de backup. O Firewall Sophos permite a criação de grupos de coletores para tolerância a falhas. Você pode adicionar no máximo cinco coletores a um único grupo de coletores. Quando vários coletores STAS são adicionados a um único grupo de coletores, um deles agirá como primário, enquanto os outros serão reservados para backup. A preferência do coletor é processada de cima para baixo.

No exemplo abaixo, o coletor ativo para testlab.com (Grupo de Coletores 1) é 192.168.1.10, enquanto 192.168.1.185 serve como um backup caso o coletor ativo fique offline. Domínios ou subdomínios adicionais devem ser incluídos como um grupo de coletores adicional. Por exemplo, o controlador para o subdomínio remote.testlab.com, 192.168.2.20, será adicionado como um coletor independente para o Grupo de Coletores 2.

tidy_fix_alt

Abandone o tempo limite no modo de aprendizagem

Quando o Firewall XG detecta tráfego não autenticado de um IP, o STAS colocará este IP no Modo de Aprendizagem e enviará uma solicitação ao coletor para informações do usuário deste IP. Enquanto em um status de aprendizagem, o firewall descarta o tráfego gerado a partir deste IP.

A partir do SFOS versão 17.05 GA, há um novo recurso chamado Restrict client traffic during identity probe. Isso é definido como Sim por padrão, o que resulta no comportamento do Firewall Sophos, conforme explicado acima. Se Restrict client traffic during identity probe estiver definido como Não , o Firewall Sophos permitirá o tráfego não autenticado (durante o Identity probe time-out especificado) e processar esse tráfego não autenticado usando as regras de firewall para tráfego não autenticado de acordo.

tidy_fix_alt

Por padrão, o valor de tempo limite de queda de tráfego não autenticado (tempo limite de detecção de identidade ) é 120 segundos. Para verificar este valor, entre no WebAdmin, vá para Autenticação> STAS  conforme mostrado na imagem acima, ou entre na Interface de Linha de Comandos (CLI) e escolha a opção 4. Console do Dispositivo e digite o seguinte comando: 

system auth cta show

tidy_fix_alt

Este tempo limite é configurável, por exemplo, para alterá-lo para 60 segundos, digite o seguinte comando:

system auth cta unauth-traffic drop-period 60

tidy_fix_alt

Notas :

  • Quando não há resposta do coletor durante o Modo de Aprendizagem, o STAS coloca o IP no status não autenticado por uma hora, ele tentará se conectar novamente após uma hora entrando no Estado de Aprendizagem. Enquanto em um status não autenticado, o Firewall Sophos aplica suas regras de firewall para tráfego não autenticado de acordo. 
  • Se a rede contiver algum host que não faça parte do domínio, é recomendável criar usuários clientless para esses endereços IP.

Endereço IP recomendado e exclusões de usuários

Recomenda-se que os administradores excluam os endereços IP que executam logins do AD em nome de usuários, como o Microsoft Exchange, da seção da lista de exclusão de login / logoff, bem como excluam usuários do serviço, como sistemas de distribuição de software, coletores de log, etc. , na seção da lista de exclusão de usuário de login do STAS. Caso contrário, quando uma conta de serviço executa uma autenticação AD com um usuário diferente, o STAS irá registrá-la e desconectar o usuário real (real). Isso ocorre da mesma forma para serviços que executam autenticação no DC em nome do usuário.

Isso pode ser configurado na guia STAS Exclusion List .

tidy_fix_alt

Verificando usuários ao vivo

Faça isso no aplicativo STAS ou no Firewall Sophos. Siga as etapas na seção Verificar usuários ativos em  https://docs.sophos.com/nsg/sophos-firewall/18.5/Help/en-us/webhelp/onlinehelp/nsg/sfos/learningContent/AuthenticationConfigureTransparentAuthenticationSTAS.html .

Use Log Viewer

  1. Selecione  Log Viewer no canto superior direito da interface gráfica do usuário (GUI).
  2. Selecione Adicionar Filtro  e defina o seguinte:
     
    • FieldLog Component
    • Conditionis
    • ValueFirewall Rule
  3. Clique em Adicionar filtro .

Supondo que o tráfego do usuário esteja atingindo uma regra de firewall com a opção Match User Identity ativada, seu nome de usuário deve agora refletir na coluna Username.

Usuários ao vivo

Para obter mais informações, vá para  https://docs.sophos.com/nsg/sophos-firewall/18.5/Help/en-us/webhelp/onlinehelp/nsg/sfos/concepts/LogViewer.html .

Informação relacionada

Inscreva-se no Sophos Support Notification Service para obter as informações mais recentes sobre o lançamento do produto e problemas críticos.

do original em: https://support.sophos.com/support/s/article/KB-000035730?language=en_US

Newsletter

Insira seu endereço de e-mail abaixo para receber novidades

Deixar uma resposta