Aller au contenu
Avanet

Vérifier la limite d'ID utilisateur de Sophos Firewall et les téléchargements du portail VPN

Sophos Firewall

Lorsque les utilisateurs ne peuvent pas télécharger une configuration .ovpn dans le portail VPN ou que certaines fonctionnalités du portail et d’authentification échouent de manière inattendue, on pense généralement d’abord à SSL VPN, à l’appartenance à un groupe, à MFA ou à un problème de certificat. Cela est souvent correct. Cependant, il existe un point moins évident : les ID utilisateur internes de Sophos Firewall.

Sophos Firewall utilise une limite de 65 535 ID utilisateur, partagée entre les utilisateurs et les groupes. Bien que des utilisateurs puissent être créés au-delà de cette limite, les utilisateurs avec un ID attribué plus élevé peuvent rencontrer des problèmes fonctionnels. Un exemple typique est l’incapacité de télécharger des fichiers de configuration .ovpn depuis le portail VPN.

Cet article aide à situer le problème sans supprimer précipitamment des utilisateurs ou remanier la configuration VPN.

Quand ce problème est suspect

La limite d’ID utilisateur n’est pas une erreur standard dans les petits environnements. Elle devient surtout pertinente lorsque de nombreux utilisateurs, groupes ou objets de répertoire externes ont été créés sur le pare-feu au fil des ans.

Indices typiques :

  • Un utilisateur peut se connecter au portail VPN, mais ne peut pas télécharger le fichier .ovpn.
  • Seuls certains utilisateurs sont affectés, d’autres avec la même configuration VPN ne le sont pas.
  • La politique SSL-VPN, l’appartenance à un groupe et MFA semblent correctes.
  • Dans Authentication > Users, il y a un très grand nombre d’utilisateurs.
  • Des connexions AD, LDAP, RADIUS ou Entra ID ont été utilisées pendant longtemps.
  • Les anciens utilisateurs ou groupes n’ont jamais été nettoyés.
  • Un problème survient après une migration, une restructuration de répertoire ou de nombreux utilisateurs de test.

Si le tunnel VPN est établi mais qu’aucun trafic ne passe ensuite, c’est un autre type de problème. Dans ce cas, DNS, règles de pare-feu, routage, NAT ou retour sont plus probables. Pour ce processus, consultez Configurer Sophos SSL VPN avec Sophos Connect sur Windows ou le guide de la plateforme concernée.

Ce que sont les ID utilisateur sur Sophos Firewall

Sophos Firewall gère les utilisateurs et les groupes en interne avec des ID. Ces ID ne sont pas les mêmes qu’un SID Active Directory, un ID d’objet Entra ou un nom d’utilisateur, mais une attribution interne du pare-feu.

Points importants :

  • La limite s’applique conjointement aux utilisateurs et aux groupes.
  • Les utilisateurs de répertoires externes n’apparaissent pas nécessairement immédiatement comme utilisateurs locaux.
  • Les utilisateurs de répertoires externes apparaissent souvent sous Authentication > Users seulement lorsqu’ils se connectent à un service du pare-feu, comme le portail utilisateur ou le portail VPN.
  • Les utilisateurs et groupes supprimés ou inactifs doivent être régulièrement nettoyés pour que les ID puissent être réutilisés.

Dans les environnements avec Active Directory, la connexion AD elle-même doit d’abord être propre. Le processus est décrit dans Connecter Active Directory à Sophos Firewall. Si les utilisateurs sont reconnus de manière transparente via les connexions Windows, Configurer STAS sur Sophos Firewall est également pertinent.

Vérifier avant de supprimer

Le nettoyage des utilisateurs et des groupes est une intervention administrative. Il doit être clair au préalable quels objets ne sont vraiment plus nécessaires.

Il faut vérifier :

DomainePourquoi c’est important
Accès à distanceLes utilisateurs ou groupes peuvent être utilisés dans des politiques SSL-VPN ou IPsec
Règles de pare-feuLes objets utilisateur ou groupe peuvent être référencés dans les règles
Portail utilisateur et portail VPNLes autorisations de portail dépendent souvent des groupes
MFA et OTPLes utilisateurs supprimés peuvent perdre des attributions de jetons
ReportingLes analyses historiques peuvent toujours contenir des noms d’utilisateur
Répertoires externesLes utilisateurs peuvent réapparaître lors de la prochaine connexion s’ils sont toujours autorisés

⚠️ Les utilisateurs et groupes ne doivent pas être supprimés aveuglément simplement parce qu’il y a de nombreuses entrées. Vérifiez d’abord si l’objet est encore utilisé dans des politiques, règles, accès au portail ou processus d’authentification.

Délimiter systématiquement

1. Comparer les utilisateurs affectés

Commencez par comparer un utilisateur fonctionnel et un utilisateur affecté :

  • même serveur d’authentification
  • même groupe VPN ou portail
  • même exigence MFA
  • même politique SSL-VPN
  • même accès au portail VPN
  • même chemin client et navigateur

Si seul un utilisateur nouveau ou rarement utilisé est affecté, tandis que les utilisateurs plus anciens fonctionnent, l’attribution interne des ID utilisateur devient plus intéressante.

2. Vérifier la liste des utilisateurs

Dans WebAdmin :

Authentication > Users

Vérifiez :

  • Combien d’utilisateurs sont visibles ?
  • Y a-t-il de nombreux anciens utilisateurs locaux ?
  • Y a-t-il des comptes de test, d’anciens employés ou des comptes techniques sans but ?
  • Les utilisateurs de répertoires externes sont-ils automatiquement créés lors des connexions au portail ?
  • Des groupes sont-ils importés sans être utilisés sur le pare-feu ?

Selon l’environnement, un export ou une liste documentée peut également aider à éviter des nettoyages impulsifs.

3. Limiter l’importation de groupes

De nombreux problèmes ne proviennent pas d’utilisateurs individuels, mais d’importations de groupes trop larges. Si de nombreux groupes sont importés depuis Active Directory ou un autre répertoire, des objets peuvent rapidement se retrouver sur le pare-feu sans être nécessaires pour les règles, VPN ou portail.

Sous :

Authentication > Servers

vérifiez quels serveurs externes sont connectés et quels groupes ont été importés. Pour les besoins de pare-feu et VPN, un petit nombre de groupes clairement nommés suffit généralement, par exemple pour l’accès à distance, l’accès administrateur ou les règles utilisateur.

4. Nettoyer les objets inactifs

Une fois qu’il est clair quels utilisateurs ou groupes ne sont plus nécessaires, le nettoyage peut être planifié.

Processus recommandé :

  1. Documenter les utilisateurs, groupes et politiques concernés.
  2. Identifier les anciens utilisateurs de test locaux et les groupes non nécessaires.
  3. Avant de supprimer, vérifier si les objets sont utilisés dans des règles de pare-feu, des politiques VPN ou des accès au portail.
  4. Effectuer un petit nettoyage, ne pas supprimer des centaines d’objets sans contrôle.
  5. Tester à nouveau avec un utilisateur affecté sur le portail VPN.
  6. Documenter le résultat.

Si les utilisateurs de répertoires externes sont recréés lors de la prochaine connexion, la source doit être ajustée. Sinon, le pare-feu ne sera nettoyé que temporairement.

Vérifier séparément le téléchargement du portail VPN

La limite d’ID utilisateur n’est qu’une cause possible. Pour les problèmes de téléchargement .ovpn, vérifiez également les points d’accès à distance normaux :

  • L’utilisateur est autorisé à utiliser SSL VPN.
  • L’utilisateur est membre du bon groupe.
  • Le portail VPN est accessible via Administration > Device access.
  • MFA ou OTP fonctionne.
  • Le certificat du portail est de confiance.
  • La configuration SSL-VPN est à jour.
  • Le navigateur ne bloque pas le téléchargement.
  • L’utilisateur télécharge le fichier actuel, pas une ancienne copie.

Pour situer le portail utilisateur, le portail VPN et d’autres accès Sophos, consultez Portails Sophos : SophosID, Central, Support et accès au pare-feu. Pour renforcer les accès au portail, consultez Device Access et Local Service ACL sur Sophos Firewall.

Si Entra ID SSO est impliqué

Avec Microsoft Entra ID SSO, ne mélangez pas le sujet des ID utilisateur avec les erreurs d’accès conditionnel, OAuth ou d’URI de redirection. Si la connexion, la redirection et MFA échouent déjà, le problème se situe probablement avant le téléchargement VPN proprement dit.

Une délimitation claire permet de gagner beaucoup de temps :

ObservationVérifier d’abord
La connexion, la redirection ou MFA échoueApplication Entra, URI de redirection, secret client, accès conditionnel, certificat, heure et oauth_sso_vpn.log
La connexion fonctionne, mais l’utilisateur ne peut pas utiliser l’accès à distancegroupe Entra importé, Allowed users and groups, politique SSL-VPN ou autorisation d’accès à distance IPsec
La connexion fonctionne, mais seules certaines fonctions du portail ou de téléchargement échouentobjet utilisateur interne, ID utilisateur, autorisation de portail et chemin du navigateur
Le tunnel se connecte, mais les cibles internes ne sont pas accessiblesrègle de pare-feu, routage, DNS, NAT et pool VPN à vérifier

Ce n’est que lorsque la connexion fonctionne fondamentalement, mais que certaines fonctions du portail ou de téléchargement échouent, qu’il vaut la peine de se pencher sur les objets utilisateur internes et les ID utilisateur. La configuration spécifique à Entra est décrite dans Configurer Microsoft Entra ID SSO pour Sophos Connect et le portail VPN.

En pratique, comparez un utilisateur affecté avec un utilisateur fonctionnel : même groupe Entra, même politique d’accès à distance, même connexion au portail, même chemin client et même autorisation sur le pare-feu. Si l’UPN, l’adresse e-mail ou le mappage de groupe ne correspondent pas, commencez par nettoyer la piste SSO Entra. Si ces points correspondent et que seul le téléchargement .ovpn ou une action du portail échoue, le sujet des ID utilisateur internes devient plus plausible.

Il est également important de nettoyer : les utilisateurs Entra ou les groupes importés ne doivent pas être supprimés aveuglément s’ils sont toujours autorisés pour l’accès à distance. Sinon, ils seront recréés lors de la prochaine connexion au portail ou du prochain import de groupe. Il est préférable de restreindre d’abord les groupes autorisés et ensuite de supprimer uniquement les objets de pare-feu qui ne sont vraiment plus nécessaires. Pour les sujets de profil et de provisionnement, consultez également Configurer Sophos Connect sur Sophos Firewall.

Recommandation d’exploitation

Pour les environnements plus grands, l’hygiène des utilisateurs devrait faire partie de l’exploitation du pare-feu :

  • N’apportez sur le pare-feu que les groupes AD/LDAP/Entra nécessaires.
  • Supprimez régulièrement les anciens utilisateurs locaux.
  • Supprimez les comptes de test après les projets.
  • Vérifiez régulièrement l’appartenance aux groupes pour l’accès à distance.
  • Documentez quels groupes sont utilisés en production pour VPN, règles de pare-feu et portails.
  • Après des restructurations de répertoire, prévoyez un court test d’authentification et de portail VPN.

L’objectif n’est pas d’utiliser le pare-feu comme un système complet de gestion des identités. Le pare-feu ne devrait connaître que les identités dont il a besoin pour les politiques, les portails, le VPN et le reporting.

Liste de vérification de dépannage

SymptômeDirection probable
Un seul utilisateur ne peut pas télécharger .ovpnVérifiez l’autorisation, MFA, l’objet utilisateur ou l’ID utilisateur
Aucun utilisateur ne peut rien téléchargerVérifiez le portail VPN, le certificat, l’accès au dispositif ou la configuration SSL-VPN
La connexion au portail VPN échoue déjà avantVérifiez le serveur d’authentification, le mot de passe, MFA, les groupes ou l’accès au portail
La connexion fonctionne, mais le téléchargement ne fonctionne pasVérifiez l’objet utilisateur, le navigateur, les droits du portail et la limite d’ID utilisateur
L’utilisateur n’apparaît pas sous Authentication > UsersL’utilisateur ne s’est peut-être jamais connecté à un service du pare-feu
De nombreux anciens utilisateurs visiblesPlanifiez le nettoyage et limitez l’importation de groupes

FAQ

Quelle est la limite d'ID utilisateur de Sophos Firewall ?

Sophos Firewall utilise une limite de 65 535 ID utilisateur, partagée entre les utilisateurs et les groupes. Les utilisateurs avec des ID plus élevés peuvent rencontrer des problèmes fonctionnels.

La limite peut-elle empêcher le téléchargement OVPN dans le portail VPN ?

Oui. Il est explicitement documenté que les utilisateurs avec un ID utilisateur attribué trop élevé peuvent rencontrer des problèmes lors du téléchargement de fichiers de configuration .ovpn depuis le portail VPN.

Faut-il supprimer immédiatement tous les anciens utilisateurs ?

Non. Il faut d’abord vérifier quels utilisateurs et groupes sont encore utilisés dans les règles, les politiques VPN, les portails ou les processus MFA. Ensuite, un nettoyage ciblé peut être effectué.

Pourquoi les utilisateurs externes n'apparaissent-ils que plus tard sur le pare-feu ?

Les utilisateurs de répertoires externes ne sont pas toujours visibles comme utilisateurs locaux du pare-feu dès la connexion du serveur de répertoire. Ils apparaissent souvent seulement lorsqu’ils se connectent à un service du pare-feu, comme le portail utilisateur ou le portail VPN.

Est-ce un problème SSL-VPN ?

Pas directement. Le problème se manifeste souvent lors du téléchargement SSL-VPN, mais la cause peut résider dans la gestion interne des utilisateurs ou dans la conception de l’authentification.