Adicionar Active Directory à Sophos Firewall (SFOS)
Neste artigo mostramos como adicionar um servidor Active Directory à Sophos Firewall. Este guia pressupõe uma Sophos Firewall com o sistema operativo SFOS.
A Sophos também disponibiliza um vídeo que ilustra bem o processo.
Preparação
Inicie sessão como administrador na sua Sophos Firewall (SFOS) e, através do menu, aceda à página Autenticação > Servidor. Depois clique no botão azul Adicionar para adicionar um novo servidor. Nesta página vamos percorrer as definições em 12 passos e introduzir os dados necessários.
Tenha também em atenção a seguinte imagem com os passos assinalados, para seguir o guia com mais facilidade:
1. Tipo de servidor
Pode adicionar diferentes servidores de autenticação:
- LDAP Server
- Active Directory
- Radius Server
- TACACS+ Server
- eDirectory
Neste guia explicamos o método mais utilizado: Active Directory.
2. Nome do servidor
Pode escolher livremente o nome do servidor. Normalmente usamos o hostname do servidor.
3. IP/domínio do servidor
Introduza aqui o endereço IP do controlador de domínio.
4. Porta
A porta depende da segurança da ligação que tem de definir mais abaixo, no ponto 8. Se, por exemplo, selecionar SSL/TLS, a porta muda automaticamente para 636. Testámos as seguintes combinações, que funcionariam:
- Porta: 389 (LDAP) → Segurança da ligação: Simple (definida no ponto 8)
- Porta: 636 (LDAPS) → Segurança da ligação: SSL / TLS (definida no ponto 8)
5. Domínio NetBIOS
Para descobrir o domínio NetBIOS, pode usar a ferramenta Utilizadores e Computadores do Active Directory. Se escrever “Active” na pesquisa do menu Iniciar do Windows no AD, esta entrada deverá aparecer.
Clique agora com o botão direito no nome do domínio e selecione Propriedades. No meu exemplo, o nome do domínio seria avanet.local. Na captura de ecrã acima, vê o nome do domínio assinalado a vermelho. O domínio NetBIOS seria, portanto, AVANET no nosso caso.
6. Nome de utilizador ADS
Introduza aqui um utilizador com permissões para ler a estrutura do AD. Em ambientes produtivos recomendamos usar um utilizador de serviço e não diretamente o administrador do domínio. Para esta documentação usámos o Administrator apenas para testes, uma vez que este tem certamente permissões suficientes.
7. Palavra-passe
Acrescente aqui a palavra-passe do utilizador ADS indicado no ponto 6.
8. Segurança da ligação
Como descrito no ponto 4, a segurança da ligação está relacionada com a porta. Por predefinição, a opção Simple funciona na maioria dos casos. Se o seu controlador de domínio estiver configurado de outra forma, saberá certamente o que deve fazer aqui. São possíveis as seguintes opções:
- Simple
- SSL/TLS
- STARTTLS
9. Mostrar atributo de nome
Neste ponto pode definir como os nomes de utilizador devem ser apresentados na sua XG Firewall. Isto é controlado através do chamado “Display-Name attribute”. Estão disponíveis os seguintes atributos:
- displayName
- sAMAccountName
- userPrincipalName
- name
Para descobrir que formatações estão por trás destes termos, pode voltar a usar a ferramenta Utilizadores e Computadores do Active Directory. Para conseguir ver todos os atributos, tem de ativar a vista Funcionalidades avançadas.
Na galeria de imagens seguinte pode observar com mais detalhe os atributos listados acima com base no nosso exemplo.
10. Atributo de endereço de email
Por predefinição, e na maioria dos casos, é usado aqui o atributo mail. Este campo é opcional e só é relevante se a sua XG Firewall também for usada como servidor de email através de “Mail Transfer Agent” (MTA). Para isso, a XG já deve conhecer os endereços de email dos utilizadores, o que é muito útil, por exemplo, para o “Email Quarantine Report”.
No AD, os endereços de email dos utilizadores também têm naturalmente de estar guardados no respetivo perfil. Para verificar isto, volte à ferramenta Utilizadores e Computadores do Active Directory e abra as propriedades de um utilizador. Aí deverá aparecer uma entrada em mail na lista de atributos.
11. Nome do domínio
Também pode descobrir o nome do seu domínio através da ferramenta Utilizadores e Computadores do Active Directory. Na captura de ecrã abaixo, está assinalado onde pode ler o nome. No nosso exemplo seria avanet.local.
12. Consultas de pesquisa
Neste campo, introduza o caminho para a OU onde se encontram os utilizadores e grupos. Se quiser pesquisar toda a estrutura, pode introduzir o seguinte: DC=avanet,DC=local. Se, no nosso exemplo, quiser indicar apenas os utilizadores na OU “Avanet > User”, a entrada ficaria assim: OU=User,OU=Avanet,DC=avanet,DC=local
Também pode verificar a composição deste caminho diretamente no seu Active Directory. Para isso, abra novamente a ferramenta Utilizadores e Computadores do Active Directory e aceda às propriedades da sua Organizational Unit (OU). Depois procure distinguishedName nos atributos. Na captura de ecrã seguinte vê como fizemos isso na OU “User”.
Testar ligação
Para testar agora a configuração criada nos últimos 12 passos, clique por fim no botão Testar ligação. Se os valores indicados no formulário estiverem corretamente preenchidos e a Sophos Firewall conseguir alcançar o AD, deverá aparecer a seguinte mensagem após alguns segundos:
