Naar de inhoud
Avanet

Active Directory aan Sophos Firewall toevoegen (SFOS)

Sophos Firewall

In dit artikel zie je hoe je een Active Directory-server aan Sophos Firewall toevoegt. Voor deze handleiding gaan we uit van een Sophos Firewall met het SFOS-besturingssysteem.

Sophos heeft inmiddels ook een video die het proces goed laat zien.

Sophos Firewall v21 - Erneuerungen im Überblick

Voorbereiding

Meld je als administrator aan op je Sophos Firewall (SFOS) en ga in het menu naar Authentication > Servers. Klik daarna op de blauwe knop Add om een nieuwe server toe te voegen. Op deze pagina lopen we in 12 stappen door de instellingen en vullen we de nodige gegevens in.

Bekijk ook de volgende afbeelding met de gemarkeerde stappen, zodat je de handleiding eenvoudiger kunt volgen:

Sophos Authentication Server-configuratie

1. Servertype

Er zijn verschillende authenticatieservers die je kunt toevoegen:

  • LDAP Server
  • Active Directory
  • Radius Server
  • TACACS+ Server
  • eDirectory

In deze handleiding leggen we de meest gebruikte methode uit: Active Directory.

2. Servernaam

Je bent helemaal vrij in de keuze van de servernaam. Wij gebruiken hier vaak de hostnaam van de server.

3. Server-IP/domein

Vul hier het IP-adres van de domain controller in.

4. Poort

De poort is afhankelijk van de verbindingsbeveiliging die je verderop bij punt 8 kiest. Als je daar bijvoorbeeld SSL/TLS selecteert, verandert de poort automatisch naar 636. De volgende combinaties hebben wij getest en zouden werken:

  • Poort: 389 (LDAP) → Connection security: Simple (wordt onder punt 8 gedefinieerd)
  • Poort: 636 (LDAPS) → Connection security: SSL / TLS (wordt onder punt 8 gedefinieerd)

5. NetBIOS-domein

Om het NetBIOS-domein te achterhalen, kun je het programma Active Directory Users and Computers gebruiken. Typ op de AD-server in het zoekvenster van het Windows-startmenu “Active”; de vermelding zou dan al moeten verschijnen.

NetBIOS-naam op Active Directory achterhalen

Klik nu met de rechtermuisknop op de domeinnaam en kies Properties. In mijn voorbeeld is de domeinnaam avanet.local. In de screenshot hierboven zie je de domeinnaam rood omlijnd. Het NetBIOS-domein is in ons geval dus AVANET.

6. ADS-gebruikersnaam

Geef hier een gebruiker op die het recht heeft om de AD-structuur uit te lezen. In productieomgevingen raden we aan hiervoor een serviceaccount te gebruiken en niet meteen de domain administrator. Voor deze documentatie hebben we alleen voor testdoeleinden de Administrator gebruikt, omdat die zeker voldoende rechten heeft.

7. Wachtwoord

Vul hier het wachtwoord in voor de ADS-gebruiker die je bij punt 6 hebt opgegeven.

8. Verbindingsbeveiliging

Zoals bij punt 4 beschreven, hangt de verbindingsbeveiliging samen met de poort. Standaard werkt de optie Simple in de meeste gevallen. Als je domain controller anders is ingesteld, weet je hier waarschijnlijk zelf wat je moet kiezen. De volgende opties zijn mogelijk:

  • Simple
  • SSL/TLS
  • STARTTLS

9. Naamattribuut weergeven

Onder dit punt kun je bepalen hoe de gebruikersnamen op je XG Firewall worden weergegeven. Je stuurt dit via het zogenaamde “Display-Name attribute”. De volgende attributen zijn beschikbaar:

  • displayName
  • sAMAccountName
  • userPrincipalName
  • name

Om te achterhalen welke notatie achter deze termen zit, kun je opnieuw het programma Active Directory Users and Computers gebruiken. Om alle attributen te kunnen zien, moet de weergave Advanced Features zijn ingeschakeld.

Weergave voor Advanced Features activeren

In de onderstaande beeldgalerij kun je de hierboven genoemde attributen aan de hand van ons voorbeeld bekijken.

Sophos Firewall - Authentication Server Active Directory-attribuut sAMAccountName
Sophos Firewall - Authentication Server Active Directory-attribuut displayName
Sophos Firewall - Authentication Server Active Directory-attribuut userPrincipalName
Sophos Firewall - Authentication Server Active Directory-attribuut Name

10. E-mailadresattribuut

Standaard en in de meeste gevallen wordt hier het attribuut mail gebruikt. Dit veld is optioneel en alleen relevant als je XG Firewall via “Mail Transfer Agent” (MTA) ook als e-mailserver wordt gebruikt. Daarvoor moet de XG de e-mailadressen van de gebruikers al kennen, wat bijvoorbeeld voor de “Email Quarantine Report” erg handig is.

Op de AD moeten de e-mailadressen van de gebruikers natuurlijk ook in hun profiel zijn opgeslagen. Om dit te controleren, ga je opnieuw naar Active Directory Users and Computers en open je de eigenschappen van een gebruiker. Daar zou in de attributenlijst onder mail een vermelding moeten staan.

Sophos Firewall - Authentication Server Active Directory-attribuut mail

11. Domeinnaam

De naam van je domein kun je eveneens achterhalen via Active Directory Users and Computers. In de schermafbeelding hieronder zie je waar je de naam kunt aflezen. In ons voorbeeld is dat avanet.local.

Domeinnaam op Active Directory weergeven

12. Zoekopdrachten

In dit veld geef je het pad naar de OU op waarin de gebruikers en groepen zich bevinden. Als je de hele structuur wilt doorzoeken, kun je het volgende invullen: DC=avanet,DC=local. Als je in ons voorbeeld alleen de gebruikers in de OU “Avanet > User” wilt opgeven, ziet de invoer er zo uit: OU=User,OU=Avanet,DC=avanet,DC=local

De samenstelling van dit pad kun je ook zelf op de Active Directory nakijken. Open daarvoor opnieuw Active Directory Users and Computers en open de eigenschappen van je Organizational Unit (OU). Zoek daarna in de attributen naar distinguishedName. In de volgende schermafbeelding zie je hoe wij dat in de OU “User” hebben gedaan.

DistinguishedName-attribuut van de Organizational Unit

Verbinding testen

Om de configuratie te testen die je met de laatste 12 stappen hebt gemaakt, klik je tot slot op de knop Test connection. Als de bovenstaande waarden in je formulier correct zijn ingevuld en de Sophos Firewall de AD kan bereiken, zou na enkele seconden de volgende melding verschijnen:

Succesmelding dat alle gegevens correct zijn ingevuld en de Sophos Firewall de AD kon bereiken