Статията описва как да се конфигурира метод за удостоверяване на потребители чрез Kerberos в Sophos XG.
Инструкции
Задаване на Hostname:
Конфигурирайте вашият Sophos XG с валиден FQDN hostname, който успешно се resolve от активната директория. FQDN се задава от Administration > Admin settings.(кликнете тук, за да видите изображението в пълен размер)
Добавяне на AD сървър:
От Authentication > Servers се добавя сървъра с Add. При добавянето трябва да се посочат името на сървъра, IP адреса, NetBIOS domain, администраторски акаунт, името на домейна и search queries. Примерни настройки за добавяне на AD сървър с домейн име ad.lab.demo:(кликнете тук, за да видите изображението в пълен размер)
С Test connection се валидират въведените потребител и парола и се проверява дали е установена връзка със сървъра. Запазването на настройките става със Save бутона.Задаване на AD сървъра за първоначален източник за идентификация:
Реда, по който се допитват сървърите за автентикация се променя от Authentication > Services.
AD сървъра трябва да е на най-отгоре. С Apply се запазват промените.(кликнете тук, за да видите изображението в пълен размер)
Синхронизираните групи от AD се верифицират от Authentication > Groups.Позволяване на AD SSO за LAN зоните:
Идентификацията с AD е необходима за функционирането на Kerberos и NTLM. От Administration > Device access се позволява AD SSO за LAN зоната. Промените се запазват с Apply.(кликнете тук, за да видите изображението в пълен размер)
Позволяване на браузърите да използват Kerberos за автентикация:
От менюто Authentication > Web authentication се избира Kerberos & NTLM.(кликнете тук, за да видите изображението в пълен размер)
Създаване на Групова политика:
От AD сървър се създава групова политика за Audit account logon events. Това става от Start > Administrative Tools > Local Security Policy и на Security Settings > Local Policies > Audit Policy. Активират се Success и Failure.(кликнете тук, за да видите изображението в пълен размер)
(кликнете тук, за да видите изображението в пълен размер)
(кликнете тук за да видите изображението в пълен размер)
Позволяване на Kerberos/NTLM автентикиране в уеб браузъра:
За Microsoft Internet Explorer, Microsoft Edge, Opera and Google Chrome:
Отваря се Internet Options:
От Windows Start menu в търсачката: Internet Options.
(кликнете тук, за да видите изображението в пълен размер)
Навигира се до Security tab → Local intranet → Sites → Advanced.
От там се добавя адреса на Sophos Firewall WebAdmin.
(кликнете тук, за да видите изображението в пълен размер)
(кликнете тук, за да видите изображението в пълен размер)
Навигира се до Custom level > Scripting > Active scripting и маркирайте Enable на Active scripting.
От User Authentication > Logon секцията се избира Automatic logon only in Intranet zone. Избира се Automatic logon only in Intranet zone.
(кликнете тук, за да видите изображението в пълен размер)
От Advanced таба, секция Security се позволява Enable Integrated Windows Authentication.
(кликнете тук, за да видите изображението в пълен размер)
За Mozilla Firefox:
В полето за URL се въвежда about:config.
С търсачката се навигира до network.negotiate.
Добавя се адреса на Sophos XG Firewall WebAdmin портала на network.negotiate-auth.trusted-uris и network.negotiate-auth.delegation-uris.
(кликнете тук, за да видите изображението в пълен размер)
Използвани източници на английски език: