Hoppa till innehållet
Avanet

Lägga till Active Directory i Sophos Firewall (SFOS)

Sophos Firewall

Den här artikeln visar hur du lägger till en Active Directory-server i Sophos Firewall. Guiden förutsätter att du använder en Sophos Firewall med operativsystemet SFOS.

Sophos har numera också en video som visar processen på ett tydligt sätt.

Sophos Firewall v21 - Erneuerungen im Überblick

Förberedelser

Logga in som administratör på din Sophos Firewall (SFOS) och gå via menyn till sidan Autentisering > Server. Klicka sedan på den blå knappen Lägg till för att lägga till en ny server. På den här sidan går vi igenom inställningarna i 12 steg och fyller i de uppgifter som behövs.

Titta även på följande bild med de markerade stegen, så blir guiden enklare att följa:

Sophos Authentication Server-konfiguration

1. Servertyp

Det finns flera olika autentiseringsservrar som du kan lägga till:

  • LDAP Server
  • Active Directory
  • Radius Server
  • TACACS+ Server
  • eDirectory

I den här guiden förklarar vi den vanligaste metoden: Active Directory.

2. Servernamn

Du kan välja servernamn fritt. Vi använder ofta serverns hostnamn.

3. Server-IP/domän

Ange IP-adressen till domänkontrollern här.

4. Port

Porten beror på den anslutningssäkerhet som du väljer längre ned i punkt 8. Om du till exempel väljer SSL/TLS där ändras porten automatiskt till 636. Vi har testat följande kombinationer, som fungerar:

  • Port: 389 (LDAP) → Anslutningssäkerhet: Simple (definieras under punkt 8)
  • Port: 636 (LDAPS) → Anslutningssäkerhet: SSL / TSL (definieras under punkt 8)

5. NetBIOS-domän

För att ta reda på NetBIOS-domänen kan programmet Active Directory Users and Computers hjälpa dig. Om du skriver “Active” i sökrutan i Windows startmeny på AD-servern bör posten redan visas.

Ta reda på NetBIOS-namnet i Active Directory

Högerklicka nu på domännamnet och välj Egenskaper. I mitt exempel är domännamnet avanet.local. I skärmbilden ovan ser du domännamnet markerat med röd ram. NetBIOS-domänen är alltså i vårt fall AVANET.

6. ADS-användarnamn

Ange en användare som har rätt att läsa AD-strukturen. I produktionsmiljöer rekommenderar vi en serviceanvändare i stället för domänadministratören. För den här dokumentationen använde vi endast Administrator för test, eftersom den användaren säkert har tillräckliga behörigheter.

7. Lösenord

Fyll här i lösenordet för ADS-användaren som angavs under punkt 6.

8. Anslutningssäkerhet

Som beskrivs under punkt 4 hänger anslutningssäkerheten ihop med porten. Standardalternativet Simple fungerar i de flesta fall. Om din domänkontroller är inställd på annat sätt vet du sannolikt själv vad som ska väljas här. Följande alternativ är möjliga:

  • Simple
  • SSL/TLS
  • STARTTLS

9. Visa namnattribut

Här kan du bestämma hur användarnamnen ska visas på din XG Firewall. Detta styrs via det så kallade “Display-Name attribute”. Följande attribut finns tillgängliga:

  • displayName
  • sAMAccountName
  • userPrincipalName
  • name

För att ta reda på vilka format som ligger bakom dessa begrepp kan du återigen använda programmet Active Directory Users and Computers. För att kunna se alla attribut måste vyn för Advanced Features vara aktiverad.

Aktivera vyn för Advanced Features

I bildgalleriet nedan kan du titta närmare på attributen ovan med vårt exempel.

Sophos Firewall - Authentication Server Active Directory-attribut sAMAccountName
Sophos Firewall - Authentication Server Active Directory-attribut displayName
Sophos Firewall - Authentication Server Active Directory-attribut userPrincipalName
Sophos Firewall - Authentication Server Active Directory-attribut Name

10. E-postadressattribut

Som standard och i de flesta fall används attributet mail här. Fältet är valfritt och bara relevant om din XG Firewall också används som e-postserver via “Mail Transfer Agent” (MTA). För detta bör XG redan känna till användarnas e-postadresser, vilket till exempel är mycket användbart för “Email Quarantine Report”.

På AD-servern måste användarnas e-postadresser förstås också vara sparade i deras profiler. För att kontrollera detta går du tillbaka till Active Directory Users and Computers och öppnar egenskaperna för en användare. Där bör det nu finnas en post under mail i attributlistan.

Sophos Firewall - Authentication Server Active Directory-attribut mail

11. Domännamn

Du kan också ta reda på namnet på din domän via programmet Active Directory Users and Computers. I skärmbilden nedan ser du markerat var namnet kan läsas av. I vårt exempel är det avanet.local.

Visa domännamnet i Active Directory

12. Sökfrågor

I det här fältet anger du sökvägen till den OU där användare och grupper finns. Om du vill söka igenom hela strukturen kan du ange följande: DC=avanet,DC=local. Om du i vårt exempel bara vill ange användarna i OU:n “Avanet > User” skulle posten se ut så här: OU=User,OU=Avanet,DC=avanet,DC=local

Du kan även kontrollera hur sökvägen är uppbyggd direkt i ditt Active Directory. Öppna återigen Active Directory Users and Computers och öppna egenskaperna för din Organizational Unit (OU). Sök sedan efter distinguishedName bland attributen. I följande skärmbild ser du hur vi gjorde detta i OU:n “User”.

Active Directory-attributet distinguishedName i sökfrågor
Active Directory-attributet distinguishedName i sökfrågor

Testa anslutningen

För att testa konfigurationen som du har skapat med de senaste 12 stegen klickar du till sist på knappen Testa anslutningen. Om värdena ovan har fyllts i korrekt i formuläret och Sophos Firewall kan nå AD bör följande meddelande visas efter några sekunder:

Meddelande om att alla uppgifter fylldes i korrekt och att Sophos Firewall kunde nå AD