Publicité
Gestion des utilisateurs et des groupes
Pour utiliser SSO, vous devez installer le logiciel WatchGuard Authentication Gateway, également appelé
logiciel agent SSO, sur un ordinateur du domaine de votre réseau. Lorsqu'un utilisateur se connecte à un
ordinateur, l'agent SSO rassemble toutes les informations entrées par l'utilisateur et les envoie à Firebox.
Firebox les compare aux stratégies définies pour cet utilisateur ou ce groupe d'utilisateurs en une fois. L'agent
SSO met ces données en cache pour une durée d'environ 10 minutes par défaut, pour ne pas avoir à générer
de requête pour chaque paquet. Pour plus d'informations sur l'installation de l'agent SSO, voir
WatchGuard
SSO.
Avant de commencer
Un serveur Active Directory doit être configuré sur votre réseau approuvé ou facultatif. Des serveurs
DHCP et DNS doivent également être configurés sur le même domaine que le serveur Active Directory.
Firebox doit être configuré de façon à utiliser l'authentification Active Directory. Pour plus
d'informations, voir
Un compte doit être défini pour chaque utilisateur sur le serveur Active Directory.
Pour être opérationnel, chaque utilisateur doit se connecter à un compte de domaine Single Sign-On
(SSO). Si les utilisateurs se connectent à un compte qui n'existe que sur leur ordinateur local, les
informations d'identification ne sont pas vérifiées et Firebox ne reconnaît pas ces utilisateurs.
Si vous utilisez un pare-feu tiers sur les ordinateurs de votre réseau, vérifiez que le port TCP 445 (réseau
Samba/Windows) est ouvert sur chaque client.
Vérifiez que l'impression et le partage de fichiers sont activés sur tous les ordinateurs à partir desquels
les utilisateurs s'identifient à l'aide de SSO.
Vérifiez que les ports NetBIOS et SMB ne sont bloqués sur aucun des ordinateurs à partir desquels les
utilisateurs s'authentifient à l'aide de SSO. NetBIOS utilise les ports TCP/UDP 137, 138, 139 et SMB
utilise le port TCP 445.
Vérifiez que tous les ordinateurs à partir desquels les utilisateurs s'authentifient à l'aide de SSO sont
membres du domaine auquel sont associées les relations d'approbation ininterrompues.
Activer et configurer SSO
Pour activer SSO sur Firebox, voir
À propos des exceptions SSO
Si votre réseau contient des périphériques dont les adresses IP ne requièrent pas d'authentification, tels que
des serveurs de réseau ou d'impression, il est judicieux de les ajouter à la liste des exceptions SSO de la
configuration SSO. Chaque fois qu'une connexion est établie à partir de l'un de ces périphériques et que
l'adresse IP du périphérique ne figure pas dans la liste des exceptions, Firebox contacte l'agent SSO pour
tenter d'associer l'adresse IP à un nom d'utilisateur. Cette opération prend environ 10 secondes. Pour éviter ce
temps de traitement de 10 secondes supplémentaires à chaque connexion et ne pas générer de trafic réseau
superflu, utilisez la liste des exceptions.
Pour plus d'informations sur l'ajout d'exceptions SSO, voir
204
À propos de l'authentification LDAP/Active
Activer Single
Sign-On.
Directory.
Activer Single
Sign-On.
Firebox X Edge e-Series
Installer l'agent
Publicité
