Przejdz do tresci
Avanet

Sprawdzanie limitu identyfikatorów użytkowników i pobrań z portalu VPN w Sophos Firewall

Sophos Firewall

Gdy użytkownicy nie mogą pobrać konfiguracji .ovpn z portalu VPN lub gdy niektóre funkcje portalu i uwierzytelniania nieoczekiwanie zawodzą, najczęściej myśli się o SSL VPN, członkostwie w grupie, MFA lub problemie z certyfikatem. Często jest to prawda. Istnieje jednak mniej oczywisty punkt: wewnętrzne identyfikatory użytkowników w Sophos Firewall.

Sophos Firewall stosuje limit 65 535 identyfikatorów użytkowników, które są współdzielone przez użytkowników i grupy. Użytkownicy mogą być tworzeni powyżej tego limitu, ale użytkownicy z wyższym przypisanym identyfikatorem mogą napotkać problemy funkcjonalne. Typowym przykładem są pliki konfiguracyjne .ovpn, które nie mogą być pobrane z portalu VPN.

Ten artykuł pomaga zrozumieć temat bez pochopnego usuwania użytkowników lub przebudowy konfiguracji VPN.

Kiedy podejrzewać ten problem

Limit identyfikatorów użytkowników nie jest standardowym błędem w małych środowiskach. Staje się istotny, gdy przez lata na firewallu powstało wiele użytkowników, grup lub zewnętrznych obiektów katalogowych.

Typowe wskazówki:

  • Użytkownik może zalogować się do portalu VPN, ale nie może pobrać pliku .ovpn.
  • Tylko niektórzy użytkownicy są dotknięci, inni z tą samą konfiguracją VPN nie.
  • Polityka SSL VPN, członkostwo w grupie i MFA działają poprawnie.
  • W Authentication > Users jest bardzo wielu użytkowników.
  • Przez długi czas używano logowań AD, LDAP, RADIUS lub Entra ID.
  • Starzy użytkownicy lub grupy nigdy nie byli usuwani.
  • Problem pojawia się po migracji, przebudowie katalogu lub wielu testowych użytkownikach.

Jeśli tunel VPN jest zestawiany, ale potem nie ma ruchu, to inny obraz błędu. Wtedy bardziej prawdopodobne są problemy z DNS, regułami firewalla, routingiem, NAT lub powrotem. Dla tego przebiegu pasuje Konfigurowanie Sophos SSL VPN z Sophos Connect na Windows lub odpowiednia instrukcja platformy.

Czym są identyfikatory użytkowników w Sophos Firewall

Sophos Firewall zarządza użytkownikami i grupami wewnętrznie za pomocą identyfikatorów. Te identyfikatory nie są tym samym co SID Active Directory, Entra Object ID czy nazwa użytkownika, lecz wewnętrznym przypisaniem firewalla.

Ważne jest:

  • Limit dotyczy wspólnie użytkowników i grup.
  • Użytkownicy z zewnętrznych katalogów nie zawsze pojawiają się od razu jako lokalni użytkownicy.
  • Użytkownicy z zewnętrznych katalogów często pojawiają się w Authentication > Users dopiero, gdy zalogują się do usługi firewalla, na przykład User Portal lub VPN Portal.
  • Usunięci lub nieaktywni użytkownicy i grupy powinny być regularnie usuwane, aby identyfikatory mogły być ponownie używane.

W środowiskach z Active Directory najpierw powinna być czysta integracja AD. Proces opisano w Łączenie Active Directory z Sophos Firewall. Jeśli użytkownicy są rozpoznawani transparentnie przez logowania Windows, dodatkowo istotne jest Konfigurowanie STAS na Sophos Firewall.

Sprawdzenie przed usunięciem

Czyszczenie użytkowników i grup to administracyjna interwencja. Przedtem powinno być jasne, które obiekty naprawdę nie są już potrzebne.

Należy sprawdzić:

ObszarDlaczego ważne
Remote AccessUżytkownicy lub grupy mogą być używane w politykach SSL VPN lub IPsec
Reguły firewallaObiekty użytkowników lub grup mogą być referencjami w regułach
User Portal i VPN PortalUprawnienia portalu często zależą od grup
MFA i OTPUsunięci użytkownicy mogą stracić przypisania tokenów
RaportowanieHistoryczne analizy mogą nadal zawierać nazwy użytkowników
Zewnętrzne katalogiUżytkownicy mogą pojawić się ponownie przy następnym logowaniu, jeśli nadal mają uprawnienia

⚠️ Użytkowników i grup nie należy usuwać na ślepo tylko dlatego, że jest wiele wpisów. Najpierw sprawdź, czy obiekt jest nadal używany w politykach, regułach, dostępie do portalu lub procesach uwierzytelniania.

Systematyczne zawężanie

1. Porównanie dotkniętych użytkowników

Najpierw należy porównać działającego i dotkniętego użytkownika:

  • ten sam serwer uwierzytelniania
  • ta sama grupa VPN lub portalu
  • te same wymagania MFA
  • ta sama polityka SSL VPN
  • ten sam dostęp do portalu VPN
  • ta sama ścieżka klienta i przeglądarki

Jeśli dotknięty jest tylko nowy lub rzadko używany użytkownik, podczas gdy starsi użytkownicy działają, wewnętrzne przypisanie identyfikatorów użytkowników staje się bardziej interesujące.

2. Sprawdzenie listy użytkowników

W WebAdmin:

Authentication > Users

Należy sprawdzić:

  • Ilu użytkowników jest widocznych?
  • Czy jest wielu starych lokalnych użytkowników?
  • Czy są konta testowe, byli pracownicy lub konta techniczne bez celu?
  • Czy użytkownicy z zewnętrznych katalogów są automatycznie tworzeni przy logowaniach do portalu?
  • Czy są importowane grupy, które nie są używane na firewallu?

W zależności od środowiska może również pomóc eksport lub udokumentowana lista, aby czyszczenie nie odbywało się na chybił trafił.

3. Ograniczenie importu grup

Wiele problemów nie wynika z pojedynczych użytkowników, ale z zbyt szerokiego importu grup. Jeśli z Active Directory lub innego katalogu importuje się bardzo wiele grup, szybko trafiają na firewall obiekty, które nigdy nie są potrzebne do reguł, VPN lub portalu.

Pod:

Authentication > Servers

należy sprawdzić, które zewnętrzne serwery są podłączone i które grupy zostały zaimportowane. Do celów firewalla i VPN zazwyczaj wystarcza niewielka liczba jasno nazwanych grup, na przykład dla Remote Access, dostępu administracyjnego lub reguł użytkowników.

4. Czyszczenie nieaktywnych obiektów

Gdy wiadomo, które użytkownicy lub grupy nie są już potrzebne, można zaplanować czyszczenie.

Sensowny przebieg:

  1. Udokumentowanie dotkniętych użytkowników, grup i polityk.
  2. Identyfikacja starych lokalnych użytkowników testowych i niepotrzebnych grup.
  3. Przed usunięciem sprawdzenie, czy obiekty są używane w regułach firewalla, politykach VPN lub dostępie do portalu.
  4. Przeprowadzenie małego czyszczenia, nie usuwanie setek obiektów bez kontroli.
  5. Ponowne przetestowanie dotkniętego użytkownika w portalu VPN.
  6. Udokumentowanie wyniku.

Jeśli użytkownicy z zewnętrznych katalogów są ponownie tworzeni przy następnym logowaniu, źródło musi zostać dostosowane. W przeciwnym razie firewall zostanie tylko tymczasowo oczyszczony.

Oddzielne sprawdzenie pobierania z portalu VPN

Limit identyfikatorów użytkowników to tylko jedna z możliwych przyczyn. Dla problemów z pobieraniem .ovpn należy dodatkowo sprawdzić normalne punkty dostępu zdalnego:

  • Użytkownik ma prawo do korzystania z SSL VPN.
  • Użytkownik jest członkiem odpowiedniej grupy.
  • Portal VPN jest dostępny przez Administration > Device access.
  • MFA lub OTP działa.
  • Certyfikat portalu jest zaufany.
  • Konfiguracja SSL VPN jest aktualna.
  • Przeglądarka nie blokuje pobierania.
  • Użytkownik pobiera aktualny plik, a nie starą kopię.

Dla zrozumienia User Portal, VPN Portal i innych dostępów Sophos pomocne jest Portale Sophos: SophosID, Central, Support i dostępy do firewalla. Dla wzmocnienia dostępu do portalu pasuje Device Access i Local Service ACL na Sophos Firewall.

Gdy zaangażowane jest Entra ID SSO

Przy Microsoft Entra ID SSO nie należy mylić tematu identyfikatorów użytkowników z Conditional Access, OAuth lub błędami Redirect URI. Jeśli logowanie, przekierowanie i MFA już zawodzą, problem prawdopodobnie leży przed właściwym pobraniem VPN.

Czyste rozgraniczenie oszczędza dużo czasu:

ObserwacjaNajpierw sprawdź
Logowanie, przekierowanie lub MFA zawodząAplikacja Entra, Redirect URI, Client Secret, Conditional Access, certyfikat, czas i oauth_sso_vpn.log
Logowanie działa, ale użytkownik nie może korzystać z Remote Accesszaimportowana grupa Entra, Allowed users and groups, polityka SSL VPN lub uprawnienie do IPsec Remote Access
Logowanie działa, ale tylko niektóre funkcje portalu lub pobierania zawodząwewnętrzny obiekt użytkownika, identyfikator użytkownika, uprawnienie do portalu i ścieżka przeglądarki
Tunel łączy się, ale wewnętrzne cele są niedostępnereguła firewalla, routing, DNS, NAT i pula VPN

Dopiero gdy logowanie zasadniczo działa, ale niektóre funkcje portalu lub pobierania zawodzą, warto przyjrzeć się wewnętrznym obiektom użytkowników i identyfikatorom użytkowników. Specyficzna dla Entra konfiguracja znajduje się w Konfigurowanie Microsoft Entra ID SSO dla Sophos Connect i portalu VPN.

Praktycznie należy porównać dotkniętego użytkownika z działającym użytkownikiem: ta sama grupa Entra, ta sama polityka Remote Access, to samo logowanie do portalu, ta sama ścieżka klienta i te same uprawnienia na firewallu. Jeśli UPN, adres e-mail lub mapowanie grup nie pasują, najpierw należy oczyścić ślad Entra SSO. Jeśli te punkty pasują, a tylko pobieranie .ovpn lub akcja portalu zawodzi, temat wewnętrznych identyfikatorów użytkowników staje się bardziej prawdopodobny.

Ważne jest również czyszczenie: użytkowników Entra lub zaimportowanych grup nie należy usuwać na ślepo, jeśli nadal mają uprawnienia do Remote Access. W przeciwnym razie pojawią się ponownie przy następnym logowaniu do portalu lub przy następnym imporcie grup. Lepiej jest najpierw ograniczyć dozwolone grupy, a następnie usunąć tylko naprawdę niepotrzebne obiekty firewalla. Dla tematów profilowych i provisioningowych pasuje dodatkowo Konfigurowanie Sophos Connect na Sophos Firewall.

Rekomendacje operacyjne

Dla większych środowisk higiena użytkowników powinna być częścią operacji firewalla:

  • Na firewall wprowadzać tylko potrzebne grupy AD/LDAP/Entra.
  • Regularnie usuwać byłych lokalnych użytkowników.
  • Usuwać konta testowe po projektach.
  • Regularnie sprawdzać członkostwa w grupach dla Remote Access.
  • Dokumentować, które grupy są używane produkcyjnie dla VPN, reguł firewalla i portali.
  • Po przebudowach katalogów zaplanować krótki test uwierzytelniania i portalu VPN.

Celem nie jest używanie firewalla jako pełnego systemu zarządzania tożsamościami. Firewall powinien znać tylko te tożsamości, które są naprawdę potrzebne do polityk, portali, VPN i raportowania.

Lista kontrolna rozwiązywania problemów

ObjawPrawdopodobny kierunek
Tylko jeden użytkownik nie może pobrać .ovpnSprawdź uprawnienia, MFA, obiekt użytkownika lub identyfikator użytkownika
Wszyscy użytkownicy nie mogą nic pobraćSprawdź portal VPN, certyfikat, Device Access lub konfigurację SSL VPN
Logowanie do portalu VPN już wcześniej zawodziSprawdź serwer uwierzytelniania, hasło, MFA, grupy lub dostęp do portalu
Logowanie działa, pobieranie nie działaSprawdź obiekt użytkownika, przeglądarkę, uprawnienia do portalu i limit identyfikatorów użytkowników
Użytkownik nie pojawia się w Authentication > UsersUżytkownik może nigdy nie zalogował się do usługi firewalla
Widać wielu starych użytkownikówZaplanuj czyszczenie i ogranicz import grup

FAQ

Co to jest limit identyfikatorów użytkowników w Sophos Firewall?

Sophos Firewall używa limitu 65 535 identyfikatorów użytkowników, które są współdzielone przez użytkowników i grupy. Użytkownicy z wyższymi identyfikatorami mogą napotkać problemy funkcjonalne.

Czy limit może uniemożliwić pobranie OVPN z portalu VPN?

Tak. Wyraźnie udokumentowano, że użytkownicy z zbyt wysokim przypisanym identyfikatorem użytkownika mogą mieć problemy z pobieraniem plików konfiguracyjnych .ovpn z portalu VPN.

Czy trzeba natychmiast usunąć wszystkich starych użytkowników?

Nie. Najpierw należy sprawdzić, którzy użytkownicy i grupy są nadal używane w regułach, politykach VPN, portalach lub procesach MFA. Następnie można przeprowadzić celowe czyszczenie.

Dlaczego zewnętrzni użytkownicy pojawiają się później na firewallu?

Zewnętrzni użytkownicy katalogowi nie zawsze są widoczni jako lokalni użytkownicy firewalla już przy podłączaniu serwera katalogowego. Często pojawiają się dopiero, gdy zalogują się do usługi firewalla, na przykład User Portal lub VPN Portal.

Czy to problem z SSL VPN?

Nie bezpośrednio. Obraz błędu często pojawia się przy pobieraniu SSL VPN, ale przyczyna może leżeć w wewnętrznym zarządzaniu użytkownikami lub projektowaniu uwierzytelniania.