Как да разрешим Clientless SSO (STAS) удостоверяване чрез VPN?
- Vasilena Minkova (Unlicensed)
Тази статия описва стъпките как защитната стена може да бъде конфигурирана да разрешава на потребителите от клон-офиса да се удостоверяват автоматично, пред сървъра на главния офис, чрез Single-Sign-On (SSO), когато влязат в мрежата на клон-офиса. Схемата на мрежата е показана отдолу.
Отнася се за следните продукти и версии на Sophos:
Sophos Firewall
Приложима версия на STAS: 2.1.2.8 и нататък
Как да конфигурираме SSO с главен офис
(кликнете тук, за да видите изображението в пълен размер)
Предварителни изисквания:
IPSec връзката трябва да бъде активна и свързана.
Трафикът на клон-офиса трябва да минава през IPsec тунел. За повече информация, посетете статията: How to Route Sophos Firewall Initiated Traffic Through an IPSec VPN tunnel
Главния офис и клон-офиса да имат осъществена Clientless SSO(STAS) връзка с активната директория. Сървърът на активната директория трябва да се намира в главния офис.
За да конфигурирате STAS, преледайте статиите: Как да имплементирате Clientless SSO в среда с един Active Directory контролер? и Как да имплементирате Clientless SSO в среда с няколко Active Directory контролери?
Конфигурации
За да разрешим на потребителите от клон-офиса да се удостоверявам автоматично пред AD сървъра в главния офис чрез Clientless SSO (STAS), конфигурирайте STA Collector и защитната стена на главния офис като следвате стъпките показани по-надолу.
Добавяне на мрежата на клон-офиса като наблюдавана мрежа в STAS в активната директория
Включете мрежата на клон-офиса в секция Monitored Network в STAS конфигурациите на AD сървъра на главния офис. За да включите мрежата на клон-офиса, следвайте стъпките отдолу.
Влезте в AD сървъра като администратор.
Влезте в Sophos Transparent Authentication Suite (STAS) и отидете в раздел STA Agent.
В секция Monitored Networks добавете мрежата на клон-офиса. В примера е добавен 172.50.50.0/24.
(кликнете тук, за да видите изображението в пълен размер)
Добавяне на защитната стена на клон-офиса към конфигурациите на STA колектора
Как да включим защитната стена на клон-офиса към конфигурациите на STA колектора и активация на филтъра за трафик, така че потребителите от главния офис да се удостоверяват от защитната стена на главния офис, а потребителина на клон-офиса да се удостоверяват от защитната стена на клон-офиса. За добавяне на устройство и филтър, следвайте стъпките:
Отворете раздела STA Collector от STAS.
В секция Sophos Appliances добавете защитната стена на клон-офиса. В примера е добавен 172.50.50.1.
(кликнете тук, за да видите изображението в пълен размер)
Конфугуриране на защитната стена на клон-офиса да иска удостоверяване на VPN трафика.
Защитната стена ще подкани неоторизирания трафик да се впише в LAN/ DNZ зоната по подразбиране. Тъй като STAS в главния офис обслужва заявките за вход от клон-офиса чрез VPN, трябва да се конфигурира защитната стена на клон-офиса да иска удостоверяване на всеки неоторизиран трафик чрез VPN. За да се добави мрежата на клон-офиса, следвайте стъпките отдолу:
Влезте в SF CLI.
Изберете опция 4. Device Console, за да получите достъп до конзолата.
Изпълнете командите, за да добавите мрежата на клон-офиса към STAS.
system auth cta vpnzonenetwork add source-network 172.50.50.0 netmask 255.255.255.0
(кликнете тук, за да видите изображението в пълен размер)
Забележка: Уверете се, че Client Authentication е активиран за VPN Zone. Отидете в Administration > Device Access и в секция Local Service ACL активирайте Client Authentication за VPN Zone.
Ръководството на английски език: Sophos XG Firewall: How to allow Clientless SSO (STAS) authentication over a VPN