Aller au contenu
Avanet

Ajouter Active Directory à Sophos Firewall (SFOS)

Sophos Firewall

Cet article explique comment ajouter un serveur Active Directory à Sophos Firewall. Ce guide suppose que vous utilisez un Sophos Firewall avec le système d’exploitation SFOS.

Sophos propose également une vidéo qui illustre bien la procédure.

Sophos Firewall v21 - Erneuerungen im Überblick

Préparation

Connectez-vous en tant qu’administrateur à votre Sophos Firewall (SFOS) et accédez via le menu à la page Authentification > Serveurs. Cliquez ensuite sur le bouton bleu Ajouter pour ajouter un nouveau serveur. Sur cette page, nous allons parcourir les 12 étapes de configuration et saisir les informations nécessaires.

Consultez également le graphique ci-dessous avec les étapes indiquées pour faciliter le suivi du guide :

Configuration du serveur d'authentification Sophos

1. Type de serveur

Plusieurs types de serveurs d’authentification peuvent être ajoutés :

  • Serveur LDAP
  • Active Directory
  • Serveur Radius
  • Serveur TACACS+
  • eDirectory

Dans ce guide, nous expliquons la méthode la plus courante : Active Directory.

2. Nom du serveur

Vous êtes libre de choisir le nom du serveur. Nous utilisons souvent le nom d’hôte du serveur.

3. IP/Domaine du serveur

Saisissez ici l’adresse IP du contrôleur de domaine.

4. Port

Le port dépend de la sécurité de la connexion que vous définirez au point 8 ci-dessous. Par exemple, si vous sélectionnez SSL/TLS, le port passera automatiquement à 636. Les combinaisons testées et fonctionnelles sont :

  • Port : 389 (LDAP) → Sécurité de connexion : Simple (défini au point 8)
  • Port : 636 (LDAPS) → Sécurité de connexion : SSL / TLS (défini au point 8)

5. Domaine NetBIOS

Pour trouver le domaine NetBIOS, utilisez le programme Utilisateurs et ordinateurs Active Directory. En tapant “Active” dans la recherche du menu Démarrer Windows, l’entrée devrait apparaître.

Trouver le nom NetBIOS dans Active Directory

Cliquez avec le bouton droit sur le nom du domaine et sélectionnez Propriétés. Dans mon exemple, le nom de domaine est avanet.local. Sur la capture d’écran, le nom de domaine est encadré en rouge. Le domaine NetBIOS est donc AVANET dans notre cas.

6. Nom d’utilisateur ADS

Indiquez un utilisateur ayant le droit de lire la structure AD. En environnement de production, il est recommandé d’utiliser un compte de service plutôt que l’administrateur de domaine. Pour ce document, nous avons utilisé l’Administrateur à des fins de test, car il dispose des droits nécessaires.

7. Mot de passe

Saisissez ici le mot de passe de l’utilisateur ADS indiqué au point 6.

8. Sécurité de la connexion

Comme décrit au point 4, la sécurité de la connexion est liée au port. Par défaut, l’option Simple fonctionne dans la plupart des cas. Si votre contrôleur de domaine est configuré différemment, vous savez sûrement quoi faire. Les options possibles sont :

  • Simple
  • SSL/TLS
  • STARTTLS

9. Attribut d’affichage du nom

Ici, vous pouvez définir comment les noms d’utilisateur seront affichés sur votre pare-feu XG. Cela se contrôle via l’attribut dit “Display-Name”. Les attributs disponibles sont :

  • displayName
  • sAMAccountName
  • userPrincipalName
  • name

Pour comprendre les formats de ces attributs, utilisez à nouveau le programme Utilisateurs et ordinateurs Active Directory. Assurez-vous d’activer l’affichage des Fonctionnalités avancées pour voir tous les attributs.

Activer l'affichage des fonctionnalités avancées

La galerie d’images ci-dessous montre les attributs listés précédemment à partir de notre exemple.

Sophos Firewall - Attribut sAMAccountName du serveur d'authentification Active Directory
Sophos Firewall - Attribut displayName du serveur d'authentification Active Directory
Sophos Firewall - Attribut userPrincipalName du serveur d'authentification Active Directory
Sophos Firewall - Attribut Name du serveur d'authentification Active Directory

10. Attribut d’adresse e-mail

Par défaut et dans la plupart des cas, l’attribut mail est utilisé. Ce champ est optionnel et pertinent uniquement si votre pare-feu XG est utilisé comme serveur de messagerie via un “Mail Transfer Agent” (MTA). Dans ce cas, la XG doit connaître les adresses e-mail des utilisateurs, ce qui est utile par exemple pour le “Rapport de quarantaine e-mail”.

L’adresse e-mail doit bien sûr être renseignée dans le profil utilisateur sur l’AD. Pour vérifier, ouvrez le programme Utilisateurs et ordinateurs Active Directory et consultez les propriétés d’un utilisateur. L’attribut mail doit y apparaître.

Sophos Firewall - Attribut mail du serveur d'authentification Active Directory

11. Nom de domaine

Le nom de votre domaine peut également être trouvé via le programme Utilisateurs et ordinateurs Active Directory. Sur la capture d’écran ci-dessous, vous voyez où lire ce nom. Dans notre exemple, il s’agit de avanet.local.

Afficher le nom de domaine dans Active Directory

12. Requêtes de recherche

Dans ce champ, saisissez le chemin vers l’OU où se trouvent les utilisateurs et groupes. Pour rechercher dans toute la structure, vous pouvez entrer : DC=avanet,DC=local. Si vous souhaitez cibler uniquement les utilisateurs dans l’OU “Avanet > User” dans notre exemple, saisissez : OU=User,OU=Avanet,DC=avanet,DC=local

Vous pouvez vérifier cette composition dans votre Active Directory. Ouvrez à nouveau le programme Utilisateurs et ordinateurs Active Directory et consultez les propriétés de votre unité organisationnelle (OU). Recherchez l’attribut distinguishedName. La capture d’écran suivante montre comment nous avons procédé pour l’OU “User”.

Attribut Active Directory distinguishedName dans les requêtes de recherche
Attribut Active Directory distinguishedName dans les requêtes de recherche

Tester la connexion

Pour tester la configuration créée avec ces 12 étapes, cliquez enfin sur le bouton Tester la connexion. Si les valeurs saisies sont correctes et que le Sophos Firewall peut atteindre l’AD, le message suivant devrait apparaître après quelques secondes :

Message de succès indiquant que toutes les informations sont correctes et que le Sophos Firewall a pu atteindre l'AD