Vai al contenuto
Avanet

Aggiungere Active Directory al Sophos Firewall (SFOS)

Sophos Firewall

In questo articolo viene mostrato come aggiungere un server Active Directory al Sophos Firewall. Questa guida presuppone un Sophos Firewall con sistema operativo SFOS.

Sophos ha inoltre pubblicato un video che illustra bene la procedura.

Sophos Firewall v21 - Erneuerungen im Überblick

Preparazione

Accedi come amministratore al tuo Sophos Firewall (SFOS) e tramite il menu vai alla pagina Autenticazione > Server. Clicca poi sul pulsante blu Aggiungi per aggiungere un nuovo server. In questa pagina procederemo attraverso le impostazioni in 12 passaggi e inseriremo i dati necessari.

Consulta anche la seguente immagine con i passaggi evidenziati per seguire più facilmente la guida:

Configurazione server di autenticazione Sophos

1. Tipo di server

Puoi aggiungere diversi tipi di server di autenticazione:

  • Server LDAP
  • Active Directory
  • Server Radius
  • Server TACACS+
  • eDirectory

In questa guida spieghiamo il metodo più utilizzato: Active Directory.

2. Nome del server

Puoi scegliere liberamente il nome del server. Spesso utilizziamo il nome host del server.

3. IP/dominio del server

Inserisci qui l’indirizzo IP del controller di dominio.

4. Porta

La porta dipende dalla sicurezza della connessione che imposterai al punto 8. Se ad esempio scegli SSL/TLS, la porta cambierà automaticamente a 636. Le seguenti combinazioni sono state testate e funzionano:

  • Porta: 389 (LDAP) → Sicurezza connessione: Simple (definita al punto 8)
  • Porta: 636 (LDAPS) → Sicurezza connessione: SSL / TLS (definita al punto 8)

5. Dominio NetBIOS

Per scoprire il dominio NetBIOS puoi utilizzare il programma Utenti e computer di Active Directory. Se digiti “Active” nel menu Start di Windows, dovrebbe comparire l’elemento.

Scoprire il nome NetBIOS in Active Directory

Clicca con il tasto destro sul nome del dominio e seleziona Proprietà. Nel mio esempio il nome del dominio è avanet.local. Nell’immagine sopra il nome del dominio è evidenziato in rosso. Il dominio NetBIOS nel nostro caso è quindi AVANET.

6. Nome utente ADS

Inserisci un utente che abbia il diritto di leggere la struttura AD. In ambienti produttivi consigliamo di usare un utente di servizio e non l’amministratore di dominio. Per questa documentazione abbiamo usato l’Amministratore solo a scopo di test, poiché ha sicuramente i permessi necessari.

7. Password

Inserisci la password dell’utente ADS indicato al punto 6.

8. Sicurezza della connessione

Come descritto al punto 4, la sicurezza della connessione dipende dalla porta. Di default l’opzione Simple funziona nella maggior parte dei casi. Se il tuo controller di dominio è configurato diversamente, saprai cosa fare. Le opzioni disponibili sono:

  • Simple
  • SSL/TLS
  • STARTTLS

9. Attributo nome visualizzato

Qui puoi decidere come i nomi utente saranno mostrati sul tuo firewall XG. Puoi controllarlo tramite il cosiddetto “Display-Name attribute”. Gli attributi disponibili sono:

  • displayName
  • sAMAccountName
  • userPrincipalName
  • name

Per scoprire cosa rappresentano questi attributi puoi usare nuovamente il programma Utenti e computer di Active Directory. Per vedere tutti gli attributi devi attivare la visualizzazione delle Funzionalità avanzate.

Attivare la visualizzazione delle funzionalità avanzate

Nella galleria di immagini seguente puoi vedere gli attributi elencati sopra con il nostro esempio.

Sophos Firewall - Authentication Server Active Directory Attributo sAMAccountName
Sophos Firewall - Authentication Server Active Directory Attributo displayName
Sophos Firewall - Authentication Server Active Directory Attributo userPrincipalName
Sophos Firewall - Authentication Server Active Directory Attributo name

10. Attributo indirizzo e-mail

Di default e nella maggior parte dei casi viene usato l’attributo mail. Questo campo è opzionale ed è rilevante solo se il tuo firewall XG viene usato anche come server email tramite “Mail Transfer Agent” (MTA). In tal caso il firewall deve conoscere gli indirizzi email degli utenti, ad esempio per il “Report quarantena email”.

Nel profilo AD degli utenti deve essere presente l’indirizzo email. Per verificarlo, apri il programma Utenti e computer di Active Directory e visualizza le proprietà di un utente. Nell’elenco degli attributi dovrebbe comparire mail.

Sophos Firewall - Authentication Server Active Directory Attributo mail

11. Nome dominio

Puoi trovare il nome del dominio anche tramite il programma Utenti e computer di Active Directory. Nell’immagine sottostante è indicato dove leggere il nome. Nel nostro esempio è avanet.local.

Visualizzare il nome dominio in Active Directory

12. Query di ricerca

In questo campo inserisci il percorso (path) dell’OU in cui si trovano utenti e gruppi. Se vuoi cercare in tutta la struttura, puoi inserire: DC=avanet,DC=local. Se vuoi limitarti agli utenti nell’OU “Avanet > User”, il percorso sarà: OU=User,OU=Avanet,DC=avanet,DC=local

Puoi verificare questo percorso anche tu stesso in Active Directory. Apri il programma Utenti e computer di Active Directory e visualizza le proprietà della tua Organizational Unit (OU). Cerca l’attributo distinguishedName. Nell’immagine seguente mostriamo come abbiamo fatto per l’OU “User”.

Attributo distinguishedName

Test della connessione

Per testare la configurazione creata con i 12 passaggi precedenti, clicca infine sul pulsante Test connessione. Se i dati inseriti sono corretti e il Sophos Firewall riesce a raggiungere l’AD, dopo pochi secondi comparirà il seguente messaggio:

Messaggio di successo: tutti i dati sono corretti e il Sophos Firewall ha raggiunto l’AD