Versions Compared

Old Version 2

changes.mady.by.user Vasilena Minkova

Saved on

compared with

New Version 3

changes.mady.by.user Vasilena Minkova

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

Какво е Sophos Clientless SSO Authentication?

Еднократната автентикация на Sophos е под формата на Sophos Transparent Authentication Suite (STAS). STA комплекта се състои от:

  • STA агент: получава заявките, които подават потребителите за удостоверяване пред защитната стена на Sophos и изпраща получената информация до STA колектора;

  • STA колектор: събира заявките от STA агента, обработва ги и ги изпраща за удостоверяване към Sophos XG Firewall.

Как работи STAS?

...

(кликнете върху изображението за пълен размер)

...

На база информацията, дадена от STA агента, XG защитната стена се обръща към сървъра на активната директория, за да определи какъв достъп да бъде предоставен или да бъде отказан. Потребителите, които вече имат директен(или локален) достъп до работната станция, но не са се автентикирали пред домейна, няма да бъдат удобрени за автентикация и ще се считат за неоторизирани потребители. За потребители които не са достъпили домейна, каптивния портал ще покаже страница за автентикация “логин”.

Конфигурации


Конфигурации на сървъра на активната директория (ADS)

...

Note

Забележка: RPC, RPC locator, DCOM и WMI услуги трябва да бъдат активирани на работните станции с достъп за четене на WMI/Registry Read Access.


STAS инсталация

От някой от сървърите на активните директирии влезте в интерфейса на защитната стена на XG и отидете на Authentication > ... (кликнете върху символа ... в най-дясната част на менюто за удостоверяване) > Client Downloads и изтеглете STAS.

...


След като инсталацията приключи, отидете в Start > All Programs > STAS > Sophos Transparent Authentication Suite или от пряк път за Desktop, за да стартирате програмата.

Конфигурация на STA комплект на главния домейн контролер

  1. Отворете наскоро инсталирания STA Suite и отворете раздела STA Collector.

  2. В полето Sophos Appliances добавете IP адреса на XG Firewall.

  3. От падащото меню на Workstation Polling Settings изберете WMI.

  4. Запазете Logoff Detection настройките в конфигурацията си по подразбиране.

  5. Задайте портовете по подразбиране на 6677 и 5566.

    Image RemovedImage Added

    (кликнете върху изображението за пълен размер)

    6. Отворете раздела STA Agent и въведете IP адреса на мрежата (мрежите), които ще бъдат наблюдавани от STAS.  

...

(кликнете върху изображението за пълен размер)


Конфигурация на STA Agent на допълнителен домейн контролер

  1. Отворете наскоро инсталирания STA Suite и отворете раздела STA Agent.

  2. В секция Monitored Networks въведете IP адреса на мрежата (мрежите), които ще бъдат наблюдавани от STAS.

  3. В полето Collector List въведете IP адреса на главния домейн контролер.

    Image RemovedImage Added

    (кликнете върху изображението за пълен размер)

...

(кликнете върху изображението за пълен размер)

Конфигурация на XG Firewall

Отидете на Authentication STAS, за да активирате STAS, като изберете бутона ON и щракнете върху Activate STAS.

...

(кликнете върху изображението за пълен размер)

STAS fault tolerance

По желание можете да инсталирате STAS колектори на няколко сървъри с активна директория с цел наличие, в случай, че основния колектор пропадне, защитната стена на Софос ще събере информацията от резервните колектори. Защитната стена Sophos XG позволява създаването група от колектори с цел постоянното наличие на активен колектор. Максималният брой колектори, които могат да бъдат добавени към една колекторна група е 5. Когато няколко STAS колектора се добавят към една колекторна група се добавят , един от тях ще действа като главен, а останалите ще бъдат резервни. Привилегиите на колекторите са подредени в ред от горе на долу.

...

(кликнете върху изображението за пълен размер)

Време за изхвърляне в режим за обучение 

Когато защитната стена на XG засече неавтентикиран трафик от IP адрес, STAS ще приложи този IP адрес към режим на обучение и ще изпрати заявка към колекторите за потребителска информация от този IP адрес. Докато е в режим на обучение, защитната стена блокира трафика, генериран от този IP адрес.

...

Note

Забележки:

  • Когато няма отговор от колектора, докато сте в режим на обучение, STAS слага IP адреса в неавтентикирано състояние за 1 час. Ще се опита да влезе отново след 1 час, като влезе в режим на обучение. Докато е в неавтентикирано състояние, XG защитната стена ще приложи правилата си за неавтентикиран трафик.

  • Ако мрежата съдържа потребител, който не е част от домейна, е препоръчително да се създадат потребители, които не са клиенти за тези IP адреси.

Препоръчителен IP адрес и потребителски изключения

Препоръчва се на администраторите да изключат IP адреси, които влизат в активната директория от името на потребители, като например Microsoft Exchange, от секцията на вход/изход списъка за изключения, както и да направите изключение на потребителски услуги, като например системи за дистрибуция на софтуер, колектори на логове и т.н. , от секцията в STAS за изключения на влезнали потребители. В противен случай, когато един акаунт за потребителски услуги извърши автентикация с различен потребител, STAS ще го регистрира и ще излезе от действителния (реален) потребителски акаунт. Същото поведение важи и за другите услуги, които се автентикират пред домейн контролера на от името на потребителя.

...

(кликнете върху изображението за пълен размер)

Резултати

Наблюдение на live потребители

...

Ръководството на английски език: https://community.sophos.com/kb/en-us/123154

Свързани материали:

Filter by label (Content by label)
showLabelsfalse
max5
spacescom.atlassian.confluence.content.render.xhtml.model.resource.identifiers.SpaceResourceIdentifier@14174
showSpacefalse
sortmodified
typepage
reversetrue
labelssophos xg firewall clientless sso authentication stas sta agent collector installation transparent suite domain controller configuration active directory ad
cqllabel in ( "installation" , "suite" , "firewall" , "clientless" , "collector" , "sso" , "domain" , "configuration" , "sophos" , "controller" , "active" , "authentication" , "ad" , "agent" , "transparent" , "xg" , "directory" , "stas" , "sta" ) and type = "page" and space = "SOP"

...