Saltar para o conteudo
Avanet

Verificar o limite de ID de usuário do Sophos Firewall e downloads do portal VPN

Sophos Firewall

Quando os usuários no VPN Portal não conseguem baixar uma configuração .ovpn ou funções específicas do portal e autenticação falham inesperadamente, geralmente se pensa primeiro em SSL VPN, associação de grupos, MFA ou um problema de certificado. Isso muitas vezes está correto. No entanto, há um ponto menos óbvio: as IDs de usuário internas do Sophos Firewall.

O Sophos Firewall utiliza um limite de 65.535 IDs de usuário, que são compartilhadas entre usuários e grupos. Embora usuários possam ser criados além desse limite, usuários com uma ID atribuída mais alta podem enfrentar problemas funcionais. Um exemplo típico são os arquivos de configuração .ovpn, que não podem mais ser baixados do portal VPN.

Este artigo ajuda a contextualizar o assunto sem excluir usuários precipitadamente ou reconfigurar o VPN.

Quando este problema é suspeito

O limite de ID de usuário não é um erro padrão em ambientes pequenos. Torna-se relevante principalmente quando muitos usuários, grupos ou objetos de diretório externos foram criados na firewall ao longo dos anos.

Indicações típicas:

  • Um usuário pode se conectar ao portal VPN, mas não consegue baixar o arquivo .ovpn.
  • Apenas alguns usuários são afetados, enquanto outros com a mesma configuração de VPN não são.
  • A política de SSL-VPN, associação de grupos e MFA parecem corretas.
  • Em Authentication > Users, há muitos usuários presentes.
  • Logins AD, LDAP, RADIUS ou Entra ID foram usados por um longo tempo.
  • Usuários ou grupos antigos nunca foram limpos.
  • Um problema ocorre após migração, reestruturação de diretório ou muitos usuários de teste.

Se o túnel VPN é estabelecido, mas depois não há tráfego, isso é um cenário de erro diferente. Nesse caso, DNS, regras de firewall, roteamento, NAT ou retorno são mais prováveis. Para esse fluxo, consulte Configurar Sophos SSL VPN com Sophos Connect no Windows ou o guia da plataforma correspondente.

O que são IDs de usuário no Sophos Firewall

O Sophos Firewall gerencia usuários e grupos internamente com IDs. Essas IDs não são o mesmo que um SID de Active Directory, uma Entra Object ID ou um nome de usuário, mas uma atribuição interna da firewall.

Importante:

  • O limite se aplica conjuntamente a usuários e grupos.
  • Usuários de diretórios externos não aparecem necessariamente como usuários locais imediatamente.
  • Usuários de diretórios externos geralmente aparecem em Authentication > Users apenas quando se conectam a um serviço da firewall, como User Portal ou VPN Portal.
  • Usuários e grupos excluídos ou inativos devem ser limpos regularmente para que as IDs possam ser reutilizadas.

Em ambientes com Active Directory, a conexão AD deve ser limpa primeiro. O procedimento está em Conectar Active Directory ao Sophos Firewall. Se os usuários forem reconhecidos de forma transparente através de logons do Windows, Configurar STAS no Sophos Firewall também é relevante.

Verificar antes de excluir

A limpeza de usuários e grupos é uma intervenção administrativa. Antes, deve-se ter clareza sobre quais objetos realmente não são mais necessários.

Deve-se verificar:

ÁreaPor que é importante
Acesso RemotoUsuários ou grupos podem ser usados em políticas de SSL-VPN ou IPsec
Regras de FirewallObjetos de usuário ou grupo podem ser referenciados em regras
User Portal e VPN PortalPermissões de portal geralmente estão vinculadas a grupos
MFA e OTPUsuários excluídos podem perder associações de token
RelatóriosAnálises históricas podem continuar a conter nomes de usuários
Diretórios ExternosUsuários podem reaparecer no próximo login se ainda estiverem autorizados

⚠️ Usuários e grupos não devem ser excluídos cegamente apenas porque há muitos registros. Primeiro, verifique se o objeto ainda é usado em políticas, regras, acessos a portais ou fluxos de autenticação.

Delimitar sistematicamente

1. Comparar usuários afetados

Primeiro, deve-se comparar um usuário funcional com um usuário afetado:

  • mesmo servidor de autenticação
  • mesmo grupo de VPN ou portal
  • mesma exigência de MFA
  • mesma política de SSL-VPN
  • mesmo acesso ao portal VPN
  • mesmo caminho de cliente e navegador

Se apenas um usuário novo ou raramente usado for afetado, enquanto usuários mais antigos funcionam, a atribuição interna de ID de usuário se torna mais interessante.

2. Verificar lista de usuários

No WebAdmin:

Authentication > Users

Deve-se verificar:

  • Quantos usuários são visíveis?
  • Existem muitos usuários locais antigos?
  • Existem contas de teste, ex-funcionários ou contas técnicas sem propósito?
  • Usuários de diretórios externos são criados automaticamente em logins de portal?
  • Grupos foram importados que não são usados na firewall?

Dependendo do ambiente, uma exportação ou uma lista documentada pode ajudar, para que as limpezas não sejam feitas de forma impulsiva.

3. Limitar importação de grupos

Muitos problemas não surgem de usuários individuais, mas de importações de grupos muito amplas. Se muitas grupos forem importados do Active Directory ou de outro diretório, rapidamente objetos acabam na firewall que nunca são usados para regras, VPN ou portal.

Em:

Authentication > Servers

deve-se verificar quais servidores externos estão conectados e quais grupos foram importados. Para fins de firewall e VPN, geralmente basta um pequeno número de grupos claramente nomeados, por exemplo, para Acesso Remoto, acesso de administrador ou regras de usuário.

4. Limpar objetos inativos

Quando está claro quais usuários ou grupos não são mais necessários, a limpeza pode ser planejada.

Procedimento sensato:

  1. Documentar usuários, grupos e políticas afetados.
  2. Identificar usuários de teste locais antigos e grupos não mais necessários.
  3. Antes de excluir, verificar se os objetos são usados em regras de firewall, políticas de VPN ou acessos a portais.
  4. Realizar uma pequena limpeza, não excluir centenas de objetos sem controle.
  5. Testar novamente no portal VPN com um usuário afetado.
  6. Documentar o resultado.

Se usuários de diretórios externos forem recriados no próximo login, a fonte deve ser ajustada. Caso contrário, a firewall será limpa apenas temporariamente.

Verificar download do portal VPN separadamente

O limite de ID de usuário é apenas uma possível causa. Para problemas de download .ovpn, deve-se verificar adicionalmente os pontos normais de acesso remoto:

  • O usuário tem permissão para usar SSL VPN.
  • O usuário é membro do grupo correto.
  • O portal VPN é acessível através de Administration > Device access.
  • MFA ou OTP funcionam.
  • O certificado do portal é confiável.
  • A configuração de SSL-VPN está atualizada.
  • O navegador não bloqueia o download.
  • O usuário está baixando o arquivo atual, não uma cópia antiga.

Para a contextualização do User Portal, VPN Portal e outros acessos Sophos, consulte Portais Sophos: SophosID, Central, Support e acessos de firewall. Para o fortalecimento dos acessos ao portal, consulte Device Access e Local Service ACL no Sophos Firewall.

Quando o SSO do Entra ID está envolvido

Com o SSO do Microsoft Entra ID, não se deve misturar o tema de ID de usuário com Conditional Access, OAuth ou erros de URI de redirecionamento. Se o login, redirecionamento e MFA já falharem, o problema provavelmente está antes do download real do VPN.

Uma delimitação clara economiza muito tempo:

ObservaçãoVerificar primeiro
Login, redirecionamento ou MFA falhamApp Entra, URI de redirecionamento, Client Secret, Conditional Access, certificado, horário e oauth_sso_vpn.log
Login funciona, mas o usuário não pode usar Acesso Remotogrupo Entra importado, Allowed users and groups, política de SSL-VPN ou permissão de acesso remoto IPsec
Login funciona, mas apenas certas funções de portal ou download falhamcomparar objeto de usuário interno, ID de usuário, permissão de portal e caminho do navegador
O túnel conecta, mas os destinos internos não são acessíveisverificar regra de firewall, roteamento, DNS, NAT e pool de VPN

Somente quando o login funciona fundamentalmente, mas certas funções de portal ou download falham, vale a pena olhar para objetos de usuário internos e IDs de usuário. A configuração específica do Entra está em Configurar SSO do Microsoft Entra ID para Sophos Connect e VPN Portal.

Na prática, deve-se comparar um usuário afetado com um usuário funcional: mesmo grupo Entra, mesma política de acesso remoto, mesmo login de portal, mesmo caminho de cliente e mesma permissão na firewall. Se UPN, endereço de e-mail ou mapeamento de grupos não corresponderem, primeiro a trilha do Entra SSO deve ser limpa. Se esses pontos corresponderem e apenas o download .ovpn ou uma ação de portal falhar, o tema de ID de usuário interno se torna mais plausível.

Também é importante a limpeza: usuários Entra ou grupos importados não devem ser excluídos cegamente se ainda estiverem autorizados para Acesso Remoto. Caso contrário, eles serão recriados no próximo login no portal ou na próxima importação de grupo. É melhor primeiro restringir claramente os grupos permitidos e depois remover apenas objetos de firewall que realmente não são mais necessários. Para temas de perfil e provisionamento, consulte adicionalmente Configurar Sophos Connect no Sophos Firewall.

Recomendações operacionais

Para ambientes maiores, a higiene de usuários deve ser parte da operação da firewall:

  • Trazer para a firewall apenas grupos AD/LDAP/Entra necessários.
  • Remover regularmente usuários locais antigos.
  • Excluir contas de teste após projetos.
  • Verificar regularmente associações de grupos para Acesso Remoto.
  • Documentar quais grupos são usados produtivamente para VPN, regras de firewall e portais.
  • Após reestruturações de diretório, planejar um breve teste de autenticação e portal VPN.

O objetivo não é usar a firewall como um sistema completo de gerenciamento de identidade. A firewall deve conhecer apenas as identidades que realmente precisa para políticas, portais, VPN e relatórios.

Lista de verificação de solução de problemas

SintomaDireção provável
Apenas um usuário não consegue baixar .ovpnVerificar permissão, MFA, objeto de usuário ou ID de usuário
Todos os usuários não conseguem baixar nadaVerificar portal VPN, certificado, Device Access ou configuração de SSL-VPN
Login no portal VPN falha antesVerificar servidor de autenticação, senha, MFA, grupos ou acesso ao portal
Login funciona, download nãoVerificar objeto de usuário, navegador, direitos de portal e limite de ID de usuário
Usuário não aparece em Authentication > UsersO usuário pode nunca ter se conectado a um serviço da firewall
Muitos usuários antigos visíveisPlanejar limpeza e limitar importação de grupos

FAQ

O que é o limite de ID de usuário do Sophos Firewall?

O Sophos Firewall utiliza um limite de 65.535 IDs de usuário, que são compartilhadas entre usuários e grupos. Usuários com IDs mais altas podem enfrentar problemas funcionais.

O limite pode impedir o download de OVPN no portal VPN?

Sim. Está explicitamente documentado que usuários com uma ID de usuário atribuída muito alta podem ter problemas ao baixar arquivos de configuração .ovpn do portal VPN.

É necessário excluir imediatamente todos os usuários antigos?

Não. Primeiro deve-se verificar quais usuários e grupos ainda são usados em regras, políticas de VPN, portais ou fluxos de MFA. Depois, pode-se limpar de forma direcionada.

Por que usuários externos aparecem mais tarde na firewall?

Usuários de diretórios externos nem sempre aparecem como usuários locais da firewall já na conexão do servidor de diretório. Frequentemente, eles aparecem apenas quando se conectam a um serviço da firewall, como User Portal ou VPN Portal.

É um problema de SSL-VPN?

Não diretamente. O cenário de erro geralmente aparece no download de SSL-VPN, mas a causa pode estar na gestão interna de usuários ou no design de autenticação.