Active Directory zur Sophos Firewall hinzufügen (SFOS)

In diesem Artikel wird gezeigt, wie man einen Active Directory Server zur Sophos Firewall hinzufügt. Für diese Anleitung wird eine Sophos Firewall mit dem SFOS Betriebssystem vorausgesetzt.

Vorbereitung

Melde dich als Administrator an deiner Sophos Firewall (SFOS) an und wechsle über das Menü auf die Seite Authentifizierung > Server. Klicke dann auf den blauen Button Hinzufügen, um einen neuen Server hinzuzufügen. Auf dieser Seite werden wir nun in 12 Schritten durch die Einstellungen durchgehen und die notwendigen Eingaben vornehmen.

Beachte auch folgende Grafik mit den eingezeichneten Schritten, damit du der Anleitung einfacher folgen kannst:

Sophos Authentication Server Konfiguration

1. Servertyp

Es gibt verschiedene Authentifizierungsservern, welche du hinzufügen kannst:

  • LDAP Server
  • Active Directory
  • Radius Server
  • TACACS+ Server
  • eDirectory

In dieser Anleitung erklären wir die meist genutzte Methode: Active Directory.

2. Server-Name

Bei der Wahl des Servernamens bist du völlig frei. Wir verwenden hier oft den Hostnamen des Servers.

3. Server-IP/domäne

Gib hier die IP-Adresse des Domänencontrollers ein.

4. Port

Der Port ist abhängig von der Verbindungssicherheit, die du weiter unten bei Punkt 8 festlegen musst. Wenn du dort z. B. SSL/TLS auswählst, wechselt der Port automatisch auf 636. Folgende Kombinationen haben wir getestet und würden funktionieren:

  • Port: 389 (LDAP) → Verbindungssicherheit: Simple (Wird unter Punkt 8 definiert)
  • Port: 636 (LDAPS) → Verbindungssicherheit: SSL / TSL (Wird unter Punkt 8 definiert)

5. NetBIOS Domäne

Um die NetBIOS Domäne herauszufinden, kann dir das Programm Active Directory-Benutzer und -Computer weiterhelfen. Wenn du auf dem AD über das Windows Startmenü im Suchfenster “Active” eingibst, sollte der Eintrag bereits erscheinen.

NetBIOS Name auf dem Active Directory herausfinden.

Klicke nun mit der rechten Maustaste auf den Domänennamen und wähle Eigenschaften. In meinem Beispiel wäre der Domänenname avanet.local. Im oberen Screenshot siehst du nun den Domänennamen rot eingerahmt. Die NetBIOS Domäne wäre also in unserem Fall AVANET.

6. ADS-Benutzername

Gib hier einen Benutzer an, der das Recht hat, die AD Struktur auszulesen. In produktiven Umgebungen empfehlen wir hier einen Servicebenutzer zu verwenden und nicht gleich den Domänenadministrator. Für diese Dokumentation haben wir nur zu Testzwecken den Administrator verwendet, da dieser sicher genügend Berechtigungen hat.

7. Kennwort

Ergänze hier noch das Passwort zum unter Punkt 6 angegebenen ADS-Benutzer.

8. Verbindungssicherheit

Wie unter Punkt 4 beschrieben, hängt die Verbindungssicherheit mit dem Port zusammen. Standardmässig funktioniert hier die Option Simple in den meisten Fällen. Sollte dein Domänencontroller anders eingestellt sein, weisst du hier sicher selber, was zu tun ist. Folgende Optionen sind möglich:

  • Simple
  • SSL/TLS
  • STARTTLS

9. Namensattribut anzeigen

Unter diesem Punkt könnt ihr bestimmen, wie die Benutzernamen auf eurer XG Firewall dargestellt werden sollen. Steuern könnt ihr dies über das sogenannte “Display-Name attribute”. Folgende Attribute stehen euch zur Verfügung:

  • displayName
  • sAMAccountName
  • userPrincipalName
  • name

Um herauszufinden, welche Formatierungen sich hinter diesen Begriffen verbergen, kannst du wieder das Active Directory-Benutzer und -Computer Programm zur Hilfe nehmen. Damit du die Attribute auch alle sehen kannst, musst du die Ansicht für die Erweiterten Features aktiviert haben.

Ansicht für die Erweiterten Features aktivieren.

In der nachstehenden Bildergalerie kannst du dir die oben aufgelisteten Attribute anhand unseres Beispiels einmal genauer ansehen.

10. E-Mail-Adressenattribut

Standardmässig und in den meisten Fällen wird hier das Attribut mail verwendet. Dieses Feld ist optional und nur relevant, wenn deine XG Firewall mittels “Mail Transfer Agent” (MTA) auch als Email Server verwendet wird. Dafür sollte die XG die E-Mail-Adressen der Benutzer schon kennen, was z. B. für den “Email Quarantäne Report” sehr hilfreich ist.

Auf dem AD muss dafür natürlich auch die E-Mail-Adressen der Benutzer in deren Profil hinterlegt sein. Um dies zu überprüfen, wechsle wieder in das Programm Active Directory-Benutzer und -Computer und rufe die Eigenschaften eines Benutzers auf. Dort sollte nun in der Attributenliste unter mail ein Eintrag erscheinen.

Eigenschaften eines AD-Benutzers mit dem Attribut 'mail'.

11. Domänenname

Den Namen deiner Domäne kannst du ebenfalls über das Programm Active Directory-Benutzer und -Computer herausfinden. Im unteren Screenshot siehst du eingezeichnet, wo du den Namen ablesen kannst. In unserem Beispiel wäre dies avanet.local.

Domainname anzeigen lassen auf dem Active Directory.

12. Suchabfragen

In diesem Feld gibst du den Pfad zur OU an, in der sich die Benutzer und Gruppen befinden. Wenn du die ganze Struktur durchsuchen möchtest, kannst du folgendes eintragen: DC=avanet,DC=local. Wenn du in unserem Beispiel nur die Benutzer in der OU “Avanet > User” angeben möchtest, würde der Eintrag so aussehen: OU=User,OU=Avanet,DC=avanet,DC=local

Die Zusammensetzung dieses Pfades kannst du bei dir auch selbst auf dem Active Directory nachschauen. Öffne dazu wieder das Active Directory-Benutzer und -Computer Programm und rufe die Eigenschaften deiner Organizational Unit (OU) auf. Suche danach in den Attributen nach distinguishedName. Im folgenden Screenshot siehst du, wie wir das in der OU “User” gemacht haben.

Attribut 'distinguishedName' in den Eigenschaften der Organizational Unit anzeigen lassen.

Verbindung testen

Um nun deine Konfiguration zu testen, die du mit den letzten 12 Schritten erstellt hast, klicke abschliessend noch auf den Button Verbindung testen. Wenn die oben angegebenen Werte in deinem Formular korrekt ausgefüllt wurden und die Sophos Firewall den AD erreichen kann, sollte nach wenigen Sekunden folgende Meldung erscheinen:

Erfolgsmeldung, dass alle Angaben korrekt ausgefüllt wurden und die Sophos Firewall den AD erreichen konnte.