Как да конфигурираме автентикация пред Sophos с Kerberos

Статията описва как да се конфигурира метод за удостоверяване на потребители чрез Kerberos в Sophos XG.

Инструкции

1. Задаване на Hostname:
   
   Конфигурирайте вашият Sophos XG с валиден FQDN hostname, който успешно се resolve от активната директория. FQDN се задава от Administration > Admin settings.

   Open

   

   
    

2. Добавяне на AD сървър:
   
   От Authentication > Servers се добавя сървъра с Add. При добавянето трябва да се посочат името на сървъра, IP адреса, NetBIOS domain, администраторски акаунт, името на домейна и search queries. Примерни настройки за добавяне на AD сървър с домейн име ad.lab.demo: 

   Open

   

   
   
   С Test connection се валидират въведените потребител и парола и се проверява дали е установена връзка със сървъра. Запазването на настройките става със Save бутона. 
   
   

3. Задаване на AD сървъра за първоначален източник за идентификация:
   
   Реда, по който се допитват сървърите за автентикация се променя от Authentication > Services.
   AD сървъра трябва да е на най-отгоре. С Apply се запазват промените. 

   
   
   Синхронизираните групи от AD се верифицират от Authentication > Groups.
   
   

4. Позволяване на AD SSO за LAN зоните:
   
   Идентификацията с AD е необходима за функционирането на Kerberos и NTLM. От Administration > Device access се позволява AD SSO за LAN зоната. Промените се запазват с Apply.  

   
   
   

5. Позволяване на браузърите да използват Kerberos за автентикация:
   
   От менюто Authentication > Web authentication се избира Kerberos & NTLM.   

   
   
   

6. Създаване на Групова политика: 
   
   От AD сървър се създава групова политика за Audit account logon events. Това става от Start > Administrative Tools > Local Security Policy и на Security Settings > Local Policies > Audit Policy. Активират се Success и Failure. 

   
   
   

   
   
   

   
   
   

7. Позволяване на Kerberos/NTLM автентикиране в уеб браузъра:
    
   За Microsoft Internet Explorer, Microsoft Edge, Opera and Google Chrome: 

• Отваря се Internet Options: 

• Навигира се до Security tab → Local intranet → Sites → Advanced. 
  От там се добавя адреса на Sophos Firewall WebAdmin.

Навигира се до Custom level > Scripting > Active scripting и маркирайте Enable на Active scripting.

• От User Authentication > Logon секцията се избира Automatic logon only in Intranet zone. Избира се Automatic logon only in Intranet zone.

• От Advanced таба, секция Security се позволява Enable Integrated Windows Authentication.

 
За Mozilla Firefox:

• В полето за URL се въвежда about:config.

• С търсачката се навигира до network.negotiate. 

• Добавя се адреса на Sophos XG Firewall WebAdmin портала на network.negotiate-auth.trusted-uris и network.negotiate-auth.delegation-uris.

Използвани източници на английски език:

• How to turn on Kerberos authentication 

• Enable Kerberos/NTLM Authentication in Web Browsers 

Свързани материали: