Как да конфигурираме автентикация пред Sophos с Kerberos

Owned by Desislava Zlaticheva, created
Last updated: Oct 27, 2020
3 min read

Статията описва как да се конфигурира метод за удостоверяване на потребители чрез Kerberos в Sophos XG.

Инструкции

  1. Задаване на Hostname:

    Конфигурирайте вашият Sophos XG с валиден FQDN hostname, който успешно се resolve от активната директория. FQDN се задава от Administration > Admin settings.


     

  2. Добавяне на AD сървър:

    От Authentication > Servers се добавя сървъра с Add. При добавянето трябва да се посочат името на сървъра, IP адреса, NetBIOS domain, администраторски акаунт, името на домейна и search queries. Примерни настройки за добавяне на AD сървър с домейн име ad.lab.demo: 



    С Test connection се валидират въведените потребител и парола и се проверява дали е установена връзка със сървъра. Запазването на настройките става със Save бутона. 

  3. Задаване на AD сървъра за първоначален източник за идентификация:

    Реда, по който се допитват сървърите за автентикация се променя от Authentication > Services.
    AD сървъра трябва да е на най-отгоре. С Apply се запазват промените. 



    Синхронизираните групи от AD се верифицират от Authentication > Groups.

  4. Позволяване на AD SSO за LAN зоните:

    Идентификацията с AD е необходима за функционирането на Kerberos и NTLM. От Administration > Device access се позволява AD SSO за LAN зоната. Промените се запазват с Apply.  



  5. Позволяване на браузърите да използват Kerberos за автентикация:

    От менюто Authentication > Web authentication се избира Kerberos & NTLM.   



  6. Създаване на Групова политика: 

    От AD сървър се създава групова политика за Audit account logon events. Това става от Start > Administrative Tools > Local Security Policy и на Security Settings > Local Policies > Audit Policy. Активират се Success и Failure. 







  7. Позволяване на Kerberos/NTLM автентикиране в уеб браузъра:
     
    За Microsoft Internet Explorer, Microsoft Edge, Opera and Google Chrome: 

  • Отваря се Internet Options: 

От Windows Start menu в търсачката:  Internet Options.

 

  • Навигира се до Security tab → Local intranet → Sites → Advanced
    От там се добавя адреса на Sophos Firewall WebAdmin.

 

 

Навигира се до Custom level > Scripting > Active scripting и маркирайте Enable на Active scripting.

  • От User Authentication > Logon секцията се избира Automatic logon only in Intranet zone. Избира се Automatic logon only in Intranet zone.



  • От Advanced таба, секция Security се позволява Enable Integrated Windows Authentication.

 

 
За Mozilla Firefox:

  • В полето за URL се въвежда about:config.

  • С търсачката се навигира до network.negotiate

  • Добавя се адреса на Sophos XG Firewall WebAdmin портала на network.negotiate-auth.trusted-uris и network.negotiate-auth.delegation-uris.

 

 

Използвани източници на английски език:

Свързани материали: