Authentication Servers - Active Directory SSO

Share

Authentifizieren von Active Directory Usern an der Sophos UTM 9

Unter "Authentication Servers" kann konfiguriert werden, an welchen
Servern die Sophos UTM Astaro AD-User abgefragen und


Passwörter / Gruppenzugehörigkeit überprüfen kann. Für Active Directory  SSO (Single Sign-On) muss die UTM in die Domäne aufgenommen werden, eingerichtet werden sollte immer beides.

.
.

Das ganze dient dazu, dass sich AD-User an der Sophos UTM Astaro - auch per SSO - authentifizieren können und man Ihnen damit andere bzw. mehr Zugriffsrechte zuweisen kann, z.B. für Web Filtering Profiles (SSO geht nur mit dem IE oder bei Firefox mit eingetragenem Proxy, am besten mit WPAD).

 

balken-oben Folgende Konfiguration muss eingerichtet sein:
DNS Sophos UTM 9
balken-unten

 

.
.
Unter Definitions & Users -> Authentication Servers |Global Settings| 'Automatic user creation' aktivieren und unter
'Automatic user creation for facilities' die Dienste wählen z.B.:
Client Authentication
Web Filter
End-User Portal
SMTP Proxy
WebAdmin

Wenn sich also ein User erfolgreich an einem dieser Dienste angemeldet hat, wird er von der Sophos UTM automatisch unter
unter Definitions & Users -> Users & Groups |Users| angelegt. Dazu muss die Backend Authentifizierung über das AD funktionieren.

.
.

Unter
Definitions & Users -> Authentication Servers |Servers| kann man die Server zu Authentifizierung angeben, im diesem Fall der DC der Domäne "meineDomain.local":

 

Server: Domaincontroller von meineDomain.local

.

Der DC vorher als Host in der UTM unter
Definitions & Users -> Network Definitions "+ New network definition..." angelegt werden, Type ist Host, also mit fester IP
Sophos UTM Host DC
Den Contrainer angeben, in dem der User Administrator ist und in dieser Syntax angeben:
BIND DN: CN=Administrator,CN=Users,DC=meineDomain,DC=local
Base DN: DC=meineDomain, DC=local

.

Beispiel 1

CN OU AD SSO Sophos UTM 1

BIND DN: CN=Administrator,CN=Users,DC=Neise,DC=de || CN (1) =Administrator,CN (2)=Users,DC=Neise,DC=de
Base DN: DC=Neise,DC=de
Users ist immer eine CN (keine OU), mit dem ADSI-Editor kann man die Bind DN einfach auslesen.

.

Beispiel 2

 CN OU AD Sophos UTM

Bind DN: CN=Administrator,=User,=Neise-MS,DC=Dom,DC=local || Bind DN: CN=Administrator,OU (1)=User,OU (2)=Neise-MS,DC=Dom,DC=local
Base DN: DC=Dom,DC=local

.
.
Die selbst erstellten OUs 'Neise-MS' und 'User' sind keine CN, mit dem ADSI-Editor kann man die Bind DN einfach auslesen.
Im Standard sind alle User in Dom.local/Users;  Users immer eine CN (keine OU).

z.B.:

CN OU AD SSO Sophos UTM

Hier ist der Administrator in eine OU verschoben worden

.
.

Es sollten immer alle vorhandenen Domänencontroller in der Sophos UTM Astaro so angelegt werden.

.
.

Die Sophos UTM Astaro sollte auch dem AD beitreten, damit Single-Sign-On am WebProxy funktioniert.

Definitions & Users -> Authentication Servers |Signle Sign-On|

Zu beachten: Vorher muss die Sophos UTM wissen, wo es die lokale Domaine finden kann, einzurichten
unter Network Services -> DNS |Request Routing| (siehe DNS Einrichtung Sophos UTM)

.
.

Im AD eine Gruppe anlegen, in der alle User Mitglied sind, die sich an der Sophos UTM anmelden/authentifizieren dürfen. Hier heißt diese Gruppe 'UTM-User' (UTM-"Funktion"). Die primäre Gruppen der User (meistens Domainuser) zu verwenden, ist keine gute Idee.

.
.
Die Gruppe wird jetzt auch in der UTM unter
Definitions & Users -> Users & Groups |Groups| "+New group.." angelegt
Group Name: AD-User (AD-"Funktion", um zu wissen das die Gruppe aus dem AD kommt)
Group type: 'Backend membership'
Backend: 'Active Directory'
"Limit to backend group(s) Membership

Gruppe AD-User SophosUTM

 

.
.
Definitions & Users -> Client Authentication "Allowed Networks" die (internen) Netzwerke und unter "Allowed Users and Groups" die Usergruppe 'AD-User' angeben. Damit wird festgelegt, aus welchen Netzwerken sich User überhaupt anmelden dürfen und welche (AD-) Gruppen Sie angehören müssen.

Sophos UTM Allowed Users and Groups

 

.
.
In dem Szenario Internes WLAN mit Sophos UTM 9 & Lancom AP finden Sie ein gutes Beispiel für die Anwendung.

.
.
User werden zwar automatisch in der Sophus UTM bei der ersten Anmeldung angelegt, sinnvoll ist aber der Abgleich per prefetch:
Definitions & Users -> Authentication Server |Advanced| "Prefetch directory users" folder

Die Gruppe dann unten in das Feld ziehen:

Add Sophos UTM Alloweds Uers and Groups

Enable backend sync on Login = Ja

.

Danach den Log öffnen "Open pretech live log" und dann "Prefetch now" klicken. Im Live-Log kann man sehen, ob alle User angelegt wurden oder der Abgleich bei einem User angehalten hat, was auch schon mal passiert.

Hier ein Beispiel Live-Log:
Live Log: Directory user prefetch
2013:11:01-11:26:02 utm user_prefetch[24176]: Adding/updating users
2013:11:01-11:26:02 utm user_prefetch[24176]: ------------------------------------------------------------
2013:11:01-11:26:02 utm user_prefetch[24176]: # 1 Updating user C****
2013:11:01-11:26:02 utm user_prefetch[24176]: # 2 Updating user G***
2013:11:01-11:26:02 utm user_prefetch[24176]: # 3 Updating user Ad****
2013:11:01-11:26:02 utm user_prefetch[24176]: 3 user objects were found:
2013:11:01-11:26:02 utm user_prefetch[24176]: 0 users were created
2013:11:01-11:26:02 utm user_prefetch[24176]: 3 users were updated
2013:11:01-11:26:02 utm user_prefetch[24176]: 0 users are authenticated locally.
2013:11:01-11:26:02 utm user_prefetch[24176]: Overall time: 0m 0s
2013:11:01-23:13:51 utm user_prefetch[6868]: >=========================================================================
2013:11:01-23:13:51 utm user_prefetch[6868]: ARGV: $VAR1 = [
2013:11:01-23:13:51 utm user_prefetch[6868]: '--server-ref',
2013:11:01-23:13:51 utm user_prefetch[6868]: 'REF_AutAdiSdc01neise'
2013:11:01-23:13:51 utm user_prefetch[6868]: ];
2013:11:01-23:13:51 utm user_prefetch[6868]: <=========================================================================
2013:11:01-23:13:51 utm user_prefetch[6868]: Retrieving server configuration
2013:11:01-23:13:51 utm user_prefetch[6868]: -> using internal configuration from Confd
2013:11:01-23:13:51 utm user_prefetch[6868]: Using contexts from confd object
2013:11:01-23:13:51 utm user_prefetch[6868]: ldap server:
2013:11:01-23:13:51 utm user_prefetch[6868]: server: 172.16.40.20
2013:11:01-23:13:51 utm user_prefetch[6868]: port: 389
2013:11:01-23:13:51 utm user_prefetch[6868]: ssl: 0
2013:11:01-23:13:51 utm user_prefetch[6868]: bind_dn: CN=Adm05,CN=Users,DC=Neise,DC=de
2013:11:01-23:13:51 utm user_prefetch[6868]: update: 1
2013:11:01-23:13:51 utm user_prefetch[6868]: contexts:
2013:11:01-23:13:51 utm user_prefetch[6868]: CN=UTM-User,CN=Users,DC=Neise,DC=de
2013:11:01-23:13:51 utm user_prefetch[6868]: ------------------------------------------------------------
2013:11:01-23:13:51 utm user_prefetch[6868]: Starting synchronization for adirectory
2013:11:01-23:13:51 utm user_prefetch[6868]: ------------------------------------------------------------
2013:11:01-23:13:51 utm user_prefetch[6868]: ------------------------------------------------------------
2013:11:01-23:13:51 utm user_prefetch[6868]: Searching for users
2013:11:01-23:13:51 utm user_prefetch[6868]: ------------------------------------------------------------
2013:11:01-23:13:51 utm user_prefetch[6868]: Connecting to ldap server
2013:11:01-23:13:51 utm user_prefetch[6868]: ldap server: ldap://172.16.40.20:389
2013:11:01-23:13:51 utm user_prefetch[6868]: Context 'CN=UTM-User,CN=Users,DC=Neise,DC=de' is a group. Adding group members:
2013:11:01-23:13:51 utm user_prefetch[6868]: CN=Conner Neise,OU=User,OU=Neise-MS,DC=Neise,DC=de
2013:11:01-23:13:51 utm user_prefetch[6868]: CN=G**** Neise,OU=User,OU=Neise-MS,DC=Neise,DC=de
2013:11:01-23:13:51 utm user_prefetch[6868]: CN=Ad****,CN=Users,DC=Neise,DC=de
2013:11:01-23:13:51 utm user_prefetch[6868]: ------------------------------------------------------------
2013:11:01-23:13:51 utm user_prefetch[6868]: Performing ldap search:
2013:11:01-23:13:51 utm user_prefetch[6868]: searching 'CN=Conner Neise,OU=User,OU=Neise-MS,DC=Neise,DC=de'
2013:11:01-23:13:51 utm user_prefetch[6868]: searching 'CN=G**** Neise,OU=User,OU=Neise-MS,DC=Neise,DC=de'
2013:11:01-23:13:51 utm user_prefetch[6868]: searching 'CN=Ad****,CN=Users,DC=Neise,DC=de'
2013:11:01-23:13:51 utm user_prefetch[6868]: Ldap search returned 3 users
2013:11:01-23:13:51 utm user_prefetch[6868]: Search time: 0m 0s
2013:11:01-23:13:51 utm user_prefetch[6868]: ------------------------------------------------------------
2013:11:01-23:13:51 utm user_prefetch[6868]: Adding/updating users
2013:11:01-23:13:51 utm user_prefetch[6868]: ------------------------------------------------------------
2013:11:01-23:13:51 utm user_prefetch[6868]: # 1 Updating user C****
2013:11:01-23:13:51 utm user_prefetch[6868]: # 2 Updating user G****
2013:11:01-23:13:51 utm user_prefetch[6868]: # 3 Updating user Ad****
2013:11:01-23:13:51 utm user_prefetch[6868]: 3 user objects were found:
2013:11:01-23:13:51 utm user_prefetch[6868]: 0 users were created
2013:11:01-23:13:51 utm user_prefetch[6868]: 3 users were updated
2013:11:01-23:13:51 utm user_prefetch[6868]: 0 users are authenticated locally.
2013:11:01-23:13:51 utm user_prefetch[6868]: Overall time: 0m 0s

Das hat geklappt, aller 3 User meiner Domäne übertragen/geupdatet.

"Apply" und gut.

.
.

SAA Sophos Authentication Agent

Die Authentifizierung der User funktioniert (außer am Webproxy mit SSO) am besten mit dem SAA Agenten (Client Authentication Program), er kann unter
Definitions & Users -> Client Authentication |Client Authentication program|
gefunden werden, als .exe, .msi, .dmg. und sollte auf jedem PC/Notebook installiert sein. Im dem Sophos Authentication Agent wird der AD-Username und das AD-Passwort eingetragen und an die UTM weitergereicht. Somit können auch lokal am PC angemeldete User an der UTM als AD-User anmelden, ohne das der Windows PC in der Domäne ist.

.
.

 

Anlegen einer weiteren Gruppe im AD und Nutzung in der UTM

Im AD wird im Domainencontroller eine Gruppe erstellt 'AD-Surfen-Voll'. Diese soll bei den Web Filtering Profilen eingesetzt werden, um bestimmten Usern einen fast uneingeschränkte Nutzung des Internets zu ermöglichen.

 

Erstellen der Gruppe in der UTM und verknüpfen mit der Gruppe im AD:

Definition & Users -> Users & Groups |Groups| "new group"
Group Name: 'AD-Surfen-Voll'
Group type: 'Backend Membership'
Backend: Active Directory'
Limit to backend group(s) Membership = 'Ja'

Gruppe Surfen Voll

Danach kann diese Gruppe in der UTM verwendet werden, die Mitglieder werden aber im AD gepflegt.

 

Das kann man so für viele andere Berechtigungen in der Sophos UTM anwenden, man sollte jeweils eine neue Gruppe erstellen und verknüpfen, zB

Name im AD:
UTM-SMTP = SMTP-Relay nutzen
UTM-SOCKS5 = Socks 5 Proxy nutzen
UTM- ...  etc

Name in der UTM:
AD-SMTP = SMTP-Relay nutzen
AD-SOCKS5 = Socks 5 Proxy nutzen
AD- ...  etc

 

.
.
In der Sophos UTM Firmware vor 9.107-33 gibt es einen Bug, der die Authentifizierung  über den SAA betrifft, ein Update auf die Version 9.107-33 oder später wird dringend angeraten.

.
.

Praktisch ist auch, dass man AD User und AD Gruppen zur Anmeldung an dem WebAdmin benutzen kann:
Management -> WebAdmin Settings |General| "Allowed Administrators"

Sophos UTM WebAdmin User AD

So kann man einzelne AD User zum Administrator machen oder auch AD-Gruppen.

Unter |Access Control| können auch AD-User zu 'Readonly' hinzugefügt werden und sich so mit eingeschränktem Zugriff in der UTM einloggen.

 

Münster AD 2013

Share

Leave a Reply