Vai al contenuto
Avanet

Verifica del limite di ID utente di Sophos Firewall e download del portale VPN

Sophos Firewall

Quando gli utenti nel VPN Portal non riescono a scaricare una configurazione .ovpn o alcune funzionalità del portale e dell’autenticazione falliscono inaspettatamente, si pensa spesso prima a SSL VPN, appartenenza a gruppi, MFA o un problema di certificato. Questo è spesso corretto. Tuttavia, c’è un aspetto meno ovvio: gli ID utente interni di Sophos Firewall.

Sophos Firewall utilizza un limite di 65.535 ID utente, condivisi tra utenti e gruppi. Gli utenti possono essere creati oltre questo limite, ma gli utenti con un ID assegnato più alto possono riscontrare problemi funzionali. Un esempio tipico sono i file di configurazione .ovpn che non possono più essere scaricati dal portale VPN.

Questo articolo aiuta a contestualizzare il problema senza eliminare frettolosamente utenti o ristrutturare la configurazione VPN.

Quando questo problema è sospetto

Il limite di ID utente non è un errore standard in ambienti piccoli. Diventa rilevante soprattutto quando nel corso degli anni sono stati creati molti utenti, gruppi o oggetti di directory esterni sul firewall.

Indicazioni tipiche:

  • Un utente può accedere al portale VPN, ma non scaricare il file .ovpn.
  • Solo alcuni utenti sono interessati, altri utenti con la stessa configurazione VPN no.
  • La policy SSL-VPN, l’appartenenza a gruppi e MFA sembrano corrette.
  • In Authentication > Users sono presenti molti utenti.
  • Sono stati utilizzati per lungo tempo accessi AD, LDAP, RADIUS o Entra ID.
  • Vecchi utenti o gruppi non sono mai stati ripuliti.
  • Un problema si verifica dopo una migrazione, una ristrutturazione della directory o molti utenti di test.

Se il tunnel VPN viene stabilito ma poi non c’è traffico, si tratta di un altro tipo di errore. In tal caso, DNS, regole del firewall, routing, NAT o il percorso di ritorno sono più probabili. Per questo processo, consultare Configurare Sophos SSL VPN con Sophos Connect su Windows o la guida alla piattaforma pertinente.

Cosa sono gli ID utente su Sophos Firewall

Sophos Firewall gestisce utenti e gruppi internamente con ID. Questi ID non sono la stessa cosa di un SID di Active Directory, un Entra Object ID o un nome utente, ma una mappatura interna del firewall.

Importante:

  • Il limite si applica congiuntamente a utenti e gruppi.
  • Gli utenti di directory esterne non appaiono necessariamente subito come utenti locali.
  • Gli utenti da directory esterne spesso compaiono sotto Authentication > Users solo quando si autenticano a un servizio del firewall, come User Portal o VPN Portal.
  • Gli utenti e i gruppi eliminati o inattivi dovrebbero essere regolarmente ripuliti, in modo che gli ID possano essere riutilizzati.

In ambienti con Active Directory, la connessione AD dovrebbe essere prima di tutto pulita. Il processo è descritto in Collegare Active Directory a Sophos Firewall. Se gli utenti vengono riconosciuti in modo trasparente tramite logon di Windows, è inoltre rilevante Configurare STAS su Sophos Firewall.

Verificare prima di eliminare

La pulizia di utenti e gruppi è un intervento amministrativo. Prima dovrebbe essere chiaro quali oggetti non sono più necessari.

Dovresti verificare:

AreaPerché è importante
Accesso remotoUtenti o gruppi possono essere utilizzati in policy SSL-VPN o IPsec
Regole del firewallOggetti utente o gruppo possono essere referenziati nelle regole
User Portal e VPN PortalLe autorizzazioni del portale spesso dipendono dai gruppi
MFA e OTPGli utenti eliminati possono perdere le associazioni dei token
ReportingLe analisi storiche possono continuare a contenere nomi utente
Directory esterneGli utenti possono riapparire al prossimo login se continuano a essere autorizzati

⚠️ Gli utenti e i gruppi non dovrebbero essere eliminati alla cieca solo perché ci sono molte voci. Verificare prima se l’oggetto è ancora utilizzato in policy, regole, accessi al portale o flussi di autenticazione.

Delimitare sistematicamente

1. Confrontare gli utenti interessati

Per prima cosa, dovresti confrontare un utente funzionante con uno interessato:

  • stesso server di autenticazione
  • stesso gruppo VPN o portale
  • stesso requisito MFA
  • stessa policy SSL-VPN
  • stesso accesso al portale VPN
  • stesso percorso client e browser

Se solo un utente nuovo o raramente utilizzato è interessato, mentre gli utenti più vecchi funzionano, la mappatura interna degli ID utente diventa più interessante.

2. Verificare l’elenco degli utenti

Nel WebAdmin:

Authentication > Users

Dovresti verificare:

  • Quanti utenti sono visibili?
  • Ci sono molti vecchi utenti locali?
  • Ci sono account di test, ex dipendenti o account tecnici senza scopo?
  • Gli utenti da directory esterne vengono creati automaticamente al login nel portale?
  • Sono stati importati gruppi che non vengono utilizzati sul firewall?

A seconda dell’ambiente, può anche essere utile un’esportazione o un elenco documentato, in modo che le pulizie non avvengano in modo impulsivo.

3. Limitare l’importazione dei gruppi

Molti problemi non derivano da singoli utenti, ma da importazioni di gruppi troppo ampie. Se vengono importati molti gruppi da Active Directory o un’altra directory, rapidamente si accumulano oggetti sul firewall che non vengono mai utilizzati per regole, VPN o portale.

Sotto:

Authentication > Servers

dovresti verificare quali server esterni sono collegati e quali gruppi sono stati importati. Per scopi di firewall e VPN, di solito è sufficiente un piccolo numero di gruppi chiaramente denominati, ad esempio per accesso remoto, accesso amministrativo o regole utente.

4. Ripulire gli oggetti inattivi

Quando è chiaro quali utenti o gruppi non sono più necessari, si può pianificare la pulizia.

Procedura consigliata:

  1. Documentare utenti, gruppi e policy interessati.
  2. Identificare vecchi utenti di test locali e gruppi non più necessari.
  3. Prima di eliminare, verificare se gli oggetti sono utilizzati in regole del firewall, policy VPN o accessi al portale.
  4. Effettuare una piccola pulizia, non eliminare centinaia di oggetti senza controllo.
  5. Testare nuovamente con un utente interessato nel portale VPN.
  6. Documentare il risultato.

Se gli utenti di directory esterne vengono ricreati al prossimo login, la fonte deve essere adattata. Altrimenti, il firewall sarà ripulito solo temporaneamente.

Verificare separatamente il download del portale VPN

Il limite di ID utente è solo una possibile causa. Per i problemi di download .ovpn, dovresti anche verificare i normali punti di accesso remoto:

  • L’utente può utilizzare SSL VPN.
  • L’utente è membro del gruppo corretto.
  • Il portale VPN è accessibile tramite Administration > Device access.
  • MFA o OTP funzionano.
  • Il certificato del portale è attendibile.
  • La configurazione SSL-VPN è aggiornata.
  • Il browser non blocca il download.
  • L’utente scarica il file corrente, non una vecchia copia.

Per contestualizzare User Portal, VPN Portal e altri accessi Sophos, consulta Portali Sophos: SophosID, Central, Support e accessi Firewall. Per rafforzare gli accessi al portale, consulta Device Access e Local Service ACL su Sophos Firewall.

Quando è coinvolto Entra ID SSO

Con Microsoft Entra ID SSO, non dovresti confondere il tema dell’ID utente con Conditional Access, OAuth o errori di URI di reindirizzamento. Se il login, il reindirizzamento e MFA falliscono già, il problema probabilmente si verifica prima del download effettivo del VPN.

Una chiara delimitazione risparmia molto tempo:

OsservazioneVerificare prima
Login, reindirizzamento o MFA fallisconoApp Entra, URI di reindirizzamento, Client Secret, Conditional Access, certificato, orario e oauth_sso_vpn.log
Il login funziona, ma l’utente non può utilizzare l’accesso remotogruppo Entra importato, Allowed users and groups, policy SSL-VPN o autorizzazione IPsec-Remote-Access
Il login funziona, ma solo alcune funzioni del portale o del download fallisconooggetto utente interno, ID utente, autorizzazione del portale e percorso del browser
Il tunnel si connette, ma le destinazioni interne non sono raggiungibiliregola del firewall, routing, DNS, NAT e pool VPN

Solo quando il login funziona fondamentalmente, ma alcune funzioni del portale o del download falliscono, vale la pena esaminare gli oggetti utente interni e gli ID utente. L’impostazione specifica di Entra è descritta in Configurare Microsoft Entra ID SSO per Sophos Connect e VPN Portal.

Praticamente, dovresti confrontare un utente interessato con uno funzionante: stesso gruppo Entra, stessa policy di accesso remoto, stesso login al portale, stesso percorso client e stessa autorizzazione sul firewall. Se UPN, indirizzo email o mapping dei gruppi non corrispondono, prima si ripulisce la traccia Entra-SSO. Se questi punti corrispondono e solo il download .ovpn o un’azione del portale fallisce, il tema dell’ID utente interno diventa più plausibile.

È importante anche la pulizia: gli utenti Entra o i gruppi importati non dovrebbero essere eliminati alla cieca se sono ancora autorizzati per l’accesso remoto. Altrimenti, verranno ricreati al prossimo login nel portale o al prossimo import dei gruppi. È meglio prima delimitare chiaramente i gruppi autorizzati e poi rimuovere solo gli oggetti del firewall che non sono più necessari. Per i temi di profilo e provisioning, consulta anche Configurare Sophos Connect su Sophos Firewall.

Raccomandazioni operative

Per ambienti più grandi, l’igiene degli utenti dovrebbe essere parte dell’operatività del firewall:

  • Portare sul firewall solo i gruppi AD/LDAP/Entra necessari.
  • Rimuovere regolarmente gli ex utenti locali.
  • Eliminare gli account di test dopo i progetti.
  • Verificare regolarmente le appartenenze ai gruppi per l’accesso remoto.
  • Documentare quali gruppi vengono utilizzati in produzione per VPN, regole del firewall e portali.
  • Dopo ristrutturazioni della directory, pianificare un breve test di autenticazione e del portale VPN.

L’obiettivo non è utilizzare il firewall come un sistema completo di gestione delle identità. Il firewall dovrebbe conoscere solo le identità necessarie per policy, portali, VPN e reporting.

Checklist di risoluzione dei problemi

SintomoDirezione probabile
Solo un utente non può scaricare .ovpnVerificare autorizzazione, MFA, oggetto utente o ID utente
Tutti gli utenti non possono scaricare nullaVerificare portale VPN, certificato, Device Access o configurazione SSL-VPN
Il login al portale VPN fallisce già primaVerificare server di autenticazione, password, MFA, gruppi o accesso al portale
Il login funziona, il download noVerificare oggetto utente, browser, diritti del portale e limite di ID utente
L’utente non appare sotto Authentication > UsersL’utente potrebbe non essersi mai autenticato a un servizio del firewall
Molti vecchi utenti visibiliPianificare la pulizia e limitare l’importazione dei gruppi

FAQ

Qual è il limite di ID utente di Sophos Firewall?

Sophos Firewall utilizza un limite di 65.535 ID utente, condivisi tra utenti e gruppi. Gli utenti con ID più alti possono riscontrare problemi funzionali.

Il limite può impedire il download OVPN nel portale VPN?

Sì. È espressamente documentato che gli utenti con un ID utente assegnato troppo alto possono avere problemi nel download dei file di configurazione .ovpn dal portale VPN.

Bisogna eliminare subito tutti i vecchi utenti?

No. Prima dovrebbe essere verificato quali utenti e gruppi sono ancora utilizzati in regole, policy VPN, portali o flussi MFA. Successivamente, si può procedere a una pulizia mirata.

Perché gli utenti esterni appaiono solo più tardi sul firewall?

Gli utenti di directory esterne non appaiono sempre come utenti locali del firewall già al momento del collegamento del server di directory. Spesso appaiono solo quando si autenticano a un servizio del firewall, come User Portal o VPN Portal.

È un problema di SSL-VPN?

Non direttamente. Il problema si manifesta spesso durante il download di SSL-VPN, ma la causa può risiedere nella gestione interna degli utenti o nel design dell’autenticazione.