Przejdz do tresci
Avanet

Dodawanie Active Directory do Sophos Firewall (SFOS)

Sophos Firewall

W tym artykule pokazujemy, jak dodać serwer Active Directory do Sophos Firewall. Instrukcja zakłada, że używasz Sophos Firewall z systemem SFOS.

Sophos udostępnia również materiał wideo, który dobrze pokazuje cały proces.

Sophos Firewall v21 - Erneuerungen im Überblick

Przygotowanie

Zaloguj się jako administrator do Sophos Firewall (SFOS), a następnie przejdź w menu do Authentication > Servers. Kliknij niebieski przycisk Add, aby dodać nowy serwer. Na tej stronie przejdziemy przez ustawienia w 12 krokach i wprowadzimy wymagane wartości.

Zwróć też uwagę na poniższy zrzut ekranu z oznaczonymi krokami. Ułatwi to przejście przez konfigurację.

Konfiguracja serwera uwierzytelniania Active Directory w Sophos Firewall

1. Typ serwera

Możesz dodać różne typy serwerów uwierzytelniania:

  • LDAP Server
  • Active Directory
  • Radius Server
  • TACACS+ Server
  • eDirectory

W tej instrukcji opisujemy najczęściej używaną metodę: Active Directory.

2. Nazwa serwera

Nazwę serwera możesz wybrać dowolnie. W praktyce często używamy tutaj nazwy hosta serwera.

3. IP serwera/domena

Wpisz tutaj adres IP kontrolera domeny.

4. Port

Port zależy od zabezpieczenia połączenia, które ustawiasz niżej w punkcie 8. Jeśli wybierzesz tam na przykład SSL/TLS, port zostanie automatycznie zmieniony na 636. Przetestowaliśmy następujące kombinacje:

  • Port: 389 (LDAP) → zabezpieczenie połączenia: Simple (definiowane w punkcie 8)
  • Port: 636 (LDAPS) → zabezpieczenie połączenia: SSL / TSL (definiowane w punkcie 8)

5. Domena NetBIOS

Aby znaleźć domenę NetBIOS, możesz skorzystać z programu Active Directory Users and Computers. Jeśli na serwerze AD wpiszesz w menu Start systemu Windows słowo “Active”, odpowiednia pozycja powinna się już pojawić.

Sprawdzenie nazwy NetBIOS w Active Directory

Kliknij prawym przyciskiem myszy nazwę domeny i wybierz Properties. W naszym przykładzie nazwa domeny to avanet.local. Na zrzucie ekranu domena jest zaznaczona na czerwono. Domena NetBIOS to w tym przypadku AVANET.

6. Nazwa użytkownika ADS

Podaj użytkownika, który ma uprawnienia do odczytu struktury AD. W środowiskach produkcyjnych zalecamy użycie konta serwisowego zamiast od razu konta administratora domeny. W tej dokumentacji używamy konta Administrator wyłącznie do celów testowych, ponieważ ma ono wystarczające uprawnienia.

7. Hasło

Uzupełnij hasło dla użytkownika ADS podanego w punkcie 6.

8. Zabezpieczenie połączenia

Jak opisano w punkcie 4, zabezpieczenie połączenia jest powiązane z portem. Domyślnie opcja Simple działa w większości przypadków. Jeśli kontroler domeny jest skonfigurowany inaczej, wybierz odpowiednią metodę dla swojego środowiska. Dostępne są następujące opcje:

  • Simple
  • SSL/TLS
  • STARTTLS

9. Atrybut wyświetlanej nazwy

W tym punkcie określasz, jak nazwy użytkowników mają być wyświetlane na firewallu XG. Służy do tego tak zwany atrybut “Display-Name attribute”. Dostępne są następujące atrybuty:

  • displayName
  • sAMAccountName
  • userPrincipalName
  • name

Aby sprawdzić, jakie formaty kryją się za tymi nazwami, możesz ponownie użyć programu Active Directory Users and Computers. Aby zobaczyć wszystkie atrybuty, musisz włączyć widok Advanced Features.

Włączenie widoku Advanced Features w Active Directory

W poniższej galerii możesz zobaczyć wymienione atrybuty na przykładzie naszego środowiska.

Sophos Firewall - atrybut Active Directory sAMAccountName
Sophos Firewall - atrybut Active Directory displayName
Sophos Firewall - atrybut Active Directory userPrincipalName
Sophos Firewall - atrybut Active Directory name

10. Atrybut adresu e-mail

Domyślnie i w większości przypadków używany jest tutaj atrybut mail. To pole jest opcjonalne i ma znaczenie tylko wtedy, gdy firewall XG jest używany również jako serwer poczty w trybie “Mail Transfer Agent” (MTA). W takim scenariuszu XG powinien znać adresy e-mail użytkowników, co jest pomocne na przykład dla raportu kwarantanny e-mail.

Na serwerze AD adresy e-mail użytkowników muszą być oczywiście zapisane w ich profilach. Aby to sprawdzić, wróć do programu Active Directory Users and Computers i otwórz właściwości użytkownika. Na liście atrybutów pod mail powinien być widoczny odpowiedni wpis.

Sophos Firewall - atrybut Active Directory mail

11. Nazwa domeny

Nazwę domeny również możesz sprawdzić w programie Active Directory Users and Computers. Na poniższym zrzucie ekranu zaznaczono miejsce, w którym można ją odczytać. W naszym przykładzie jest to avanet.local.

Wyświetlenie nazwy domeny w Active Directory

12. Zapytania wyszukiwania

W tym polu wpisujesz ścieżkę do OU, w której znajdują się użytkownicy i grupy. Jeśli chcesz przeszukiwać całą strukturę, możesz wpisać: DC=avanet,DC=local. Jeśli w naszym przykładzie chcesz wskazać tylko użytkowników w OU “Avanet > User”, wpis wyglądałby tak: OU=User,OU=Avanet,DC=avanet,DC=local

Składnię tej ścieżki możesz sprawdzić bezpośrednio w Active Directory. Otwórz ponownie program Active Directory Users and Computers i przejdź do właściwości swojej jednostki organizacyjnej (OU). Następnie wyszukaj w atrybutach distinguishedName. Na kolejnym zrzucie ekranu pokazujemy to na przykładzie OU “User”.

Atrybut Active Directory distinguishedName dla zapytań wyszukiwania
Atrybut Active Directory distinguishedName dla zapytań wyszukiwania

Test połączenia

Aby przetestować konfigurację utworzoną w ostatnich 12 krokach, kliknij na końcu przycisk Test Connection. Jeśli wartości w formularzu są poprawne i Sophos Firewall może połączyć się z AD, po kilku sekundach powinna pojawić się następująca wiadomość:

Komunikat potwierdzający, że dane są poprawne i Sophos Firewall połączył się z AD