Ir al contenido
Avanet

Agregar Active Directory a Sophos Firewall (SFOS)

Sophos Firewall

Este artículo muestra cómo agregar un servidor Active Directory a Sophos Firewall. Para esta guía se asume que se utiliza una Sophos Firewall con el sistema operativo SFOS.

Sophos también ofrece un video que ilustra bien el proceso.

Sophos Firewall v21 - Erneuerungen im Überblick

Preparación

Inicia sesión como administrador en tu Sophos Firewall (SFOS) y navega en el menú a la página Autenticación > Servidor. Luego haz clic en el botón azul Agregar para añadir un nuevo servidor. En esta página recorreremos las configuraciones en 12 pasos y realizaremos las entradas necesarias.

También ten en cuenta la siguiente imagen con los pasos indicados para facilitar el seguimiento de la guía:

Configuración del servidor de autenticación Sophos

1. Tipo de servidor

Existen varios tipos de servidores de autenticación que puedes agregar:

  • Servidor LDAP
  • Active Directory
  • Servidor Radius
  • Servidor TACACS+
  • eDirectory

En esta guía explicamos el método más utilizado: Active Directory.

2. Nombre del servidor

Puedes elegir libremente el nombre del servidor. Frecuentemente usamos el nombre del host del servidor.

3. IP/dominio del servidor

Introduce aquí la dirección IP del controlador de dominio.

4. Puerto

El puerto depende de la seguridad de conexión que configures más abajo en el punto 8. Por ejemplo, si seleccionas SSL/TLS, el puerto cambiará automáticamente a 636. Las siguientes combinaciones han sido probadas y funcionan:

  • Puerto: 389 (LDAP) → Seguridad de conexión: Simple (Definido en el punto 8)
  • Puerto: 636 (LDAPS) → Seguridad de conexión: SSL / TLS (Definido en el punto 8)

5. Dominio NetBIOS

Para encontrar el dominio NetBIOS, puedes usar la herramienta Usuarios y equipos de Active Directory. Si escribes “Active” en el menú inicio de Windows, debería aparecer esta entrada.

Encontrar nombre NetBIOS en Active Directory

Haz clic derecho sobre el nombre del dominio y selecciona Propiedades. En mi ejemplo, el nombre del dominio es avanet.local. En la captura superior verás el nombre del dominio resaltado en rojo. El dominio NetBIOS en nuestro caso sería AVANET.

6. Nombre de usuario ADS

Introduce un usuario que tenga permiso para leer la estructura de AD. En entornos productivos recomendamos usar un usuario de servicio y no el administrador del dominio. Para esta documentación usamos el Administrador solo para pruebas, ya que tiene los permisos necesarios.

7. Contraseña

Introduce la contraseña del usuario ADS indicado en el punto 6.

8. Seguridad de conexión

Como se describió en el punto 4, la seguridad de conexión está relacionada con el puerto. Por defecto, la opción Simple funciona en la mayoría de los casos. Si tu controlador de dominio está configurado de otra forma, sabrás qué hacer. Las opciones posibles son:

  • Simple
  • SSL/TLS
  • STARTTLS

9. Atributo para mostrar nombre

Aquí puedes definir cómo se mostrarán los nombres de usuario en tu firewall XG. Esto se controla mediante el llamado “atributo de nombre para mostrar”. Las opciones disponibles son:

  • displayName
  • sAMAccountName
  • userPrincipalName
  • name

Para saber qué formato corresponde a cada término, puedes usar nuevamente la herramienta Usuarios y equipos de Active Directory. Para ver todos los atributos, debes activar la vista de Características avanzadas.

Activar vista de características avanzadas

En la siguiente galería de imágenes puedes ver los atributos mencionados con nuestro ejemplo.

Sophos Firewall - Servidor de autenticación Active Directory atributo sAMAccountName
Sophos Firewall - Servidor de autenticación Active Directory atributo displayName
Sophos Firewall - Servidor de autenticación Active Directory atributo userPrincipalName
Sophos Firewall - Servidor de autenticación Active Directory atributo name

10. Atributo de dirección de correo electrónico

Por defecto y en la mayoría de los casos se usa el atributo mail. Este campo es opcional y solo relevante si tu firewall XG se usa también como servidor de correo mediante “Mail Transfer Agent” (MTA). Para ello, la XG debe conocer las direcciones de correo de los usuarios, lo cual es útil, por ejemplo, para el “Informe de cuarentena de correo”.

En el AD, las direcciones de correo deben estar almacenadas en el perfil de los usuarios. Para verificarlo, abre la herramienta Usuarios y equipos de Active Directory y consulta las propiedades de un usuario. En la lista de atributos debería aparecer el campo mail.

Sophos Firewall - Servidor de autenticación Active Directory atributo mail

11. Nombre del dominio

Puedes encontrar el nombre de tu dominio también con la herramienta Usuarios y equipos de Active Directory. En la captura inferior se indica dónde leer el nombre. En nuestro ejemplo es avanet.local.

Mostrar nombre de dominio en Active Directory

12. Consultas de búsqueda

En este campo introduces la ruta a la Unidad Organizativa (OU) donde se encuentran los usuarios y grupos. Si quieres buscar en toda la estructura, puedes poner: DC=avanet,DC=local. Si solo quieres los usuarios en la OU “Avanet > User”, la entrada sería: OU=User,OU=Avanet,DC=avanet,DC=local

Puedes consultar esta ruta en tu Active Directory. Abre la herramienta Usuarios y equipos de Active Directory y accede a las propiedades de tu Unidad Organizativa (OU). Busca el atributo distinguishedName. En la siguiente captura mostramos cómo lo hicimos en la OU “User”.

Atributo distinguishedName de Active Directory en las consultas de búsqueda
Atributo distinguishedName de Active Directory en las consultas de búsqueda

Probar conexión

Para probar la configuración que realizaste en los 12 pasos anteriores, haz clic en el botón Probar conexión. Si los valores ingresados son correctos y la Sophos Firewall puede alcanzar el AD, debería aparecer el siguiente mensaje en pocos segundos:

Mensaje de éxito indicando que todos los datos fueron ingresados correctamente y la Sophos Firewall pudo alcanzar el AD