Какво е Sophos Clientless SSO Authentication?
Еднократната автентикация на Sophos е под формата на Sophos Transparent Authentication Suite (STAS). STA комплекта се състои от:
STA агент: получава заявките, които подават потребителите за удостоверяване пред защитната стена на Sophos и изпраща получената информация до STA колектора;
STA колектор: събира заявките от STA агента, обработва ги и ги изпраща за удостоверяване към Sophos XG Firewall.
Как работи STAS?
...
(кликнете върху изображението за пълен размер)
...
На база информацията, дадена от STA агента, XG защитната стена се обръща към сървъра на активната директория, за да определи какъв достъп да бъде предоставен или да бъде отказан. Потребителите, които вече имат директен(или локален) достъп до работната станция, но не са се автентикирали пред домейна, няма да бъдат удобрени за автентикация и ще се считат за неоторизирани потребители. За потребители които не са достъпили домейна, каптивния портал ще покаже страница за автентикация “логин”.
Конфигурации
Конфигурации на сървъра на активната директория (ADS)
...
Note |
---|
Забележка: RPC, RPC locator, DCOM и WMI услуги трябва да бъдат активирани на работните станции с достъп за четене на WMI/Registry Read Access. |
STAS инсталация
От някой от сървърите на активните директирии влезте в интерфейса на защитната стена на XG и отидете на Authentication > ... (кликнете върху символа ... в най-дясната част на менюто за удостоверяване) > Client Downloads и изтеглете STAS.
...
След като инсталацията приключи, отидете в Start > All Programs > STAS > Sophos Transparent Authentication Suite или от пряк път за Desktop, за да стартирате програмата.
Конфигурация на STA комплект на главния домейн контролер
Отворете наскоро инсталирания STA Suite и отворете раздела STA Collector.
В полето Sophos Appliances добавете IP адреса на XG Firewall.
От падащото меню на Workstation Polling Settings изберете WMI.
Запазете Logoff Detection настройките в конфигурацията си по подразбиране.
Задайте портовете по подразбиране на 6677 и 5566.
(кликнете върху изображението за пълен размер)
6. Отворете раздела STA Agent и въведете IP адреса на мрежата (мрежите), които ще бъдат наблюдавани от STAS.
...
(кликнете върху изображението за пълен размер)
Конфигурация на STA Agent на допълнителен домейн контролер
Отворете наскоро инсталирания STA Suite и отворете раздела STA Agent.
В секция Monitored Networks въведете IP адреса на мрежата (мрежите), които ще бъдат наблюдавани от STAS.
В полето Collector List въведете IP адреса на главния домейн контролер.
(кликнете върху изображението за пълен размер)
...
(кликнете върху изображението за пълен размер)
Конфигурация на XG Firewall
Отидете на Authentication > STAS, за да активирате STAS, като изберете бутона ON и щракнете върху Activate STAS.
...
(кликнете върху изображението за пълен размер)
STAS fault tolerance
По желание можете да инсталирате STAS колектори на няколко сървъри с активна директория с цел наличие, в случай, че основния колектор пропадне, защитната стена на Софос ще събере информацията от резервните колектори. Защитната стена Sophos XG позволява създаването група от колектори с цел постоянното наличие на активен колектор. Максималният брой колектори, които могат да бъдат добавени към една колекторна група е 5. Когато няколко STAS колектора се добавят към една колекторна група се добавят , един от тях ще действа като главен, а останалите ще бъдат резервни. Привилегиите на колекторите са подредени в ред от горе на долу.
...
(кликнете върху изображението за пълен размер)
Време за изхвърляне в режим за обучение
Когато защитната стена на XG засече неавтентикиран трафик от IP адрес, STAS ще приложи този IP адрес към режим на обучение и ще изпрати заявка към колекторите за потребителска информация от този IP адрес. Докато е в режим на обучение, защитната стена блокира трафика, генериран от този IP адрес.
...
Note |
---|
Забележки:
|
Препоръчителен IP адрес и потребителски изключения
Препоръчва се на администраторите да изключат IP адреси, които влизат в активната директория от името на потребители, като например Microsoft Exchange, от секцията на вход/изход списъка за изключения, както и да направите изключение на потребителски услуги, като например системи за дистрибуция на софтуер, колектори на логове и т.н. , от секцията в STAS за изключения на влезнали потребители. В противен случай, когато един акаунт за потребителски услуги извърши автентикация с различен потребител, STAS ще го регистрира и ще излезе от действителния (реален) потребителски акаунт. Същото поведение важи и за другите услуги, които се автентикират пред домейн контролера на от името на потребителя.
...
(кликнете върху изображението за пълен размер)
Резултати
Наблюдение на live потребители
...
Ръководството на английски език: https://community.sophos.com/kb/en-us/123154
Свързани материали:
Filter by label (Content by label) | ||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
|
...