ActiveDirectory SSO

firmware 3.x LDAP active directory sso

 

02 marca 2020

Integracja urządzenia Stormshield z bazą Active Directory i konfiguracja agenta SSO dla transparentnej autoryzacji użytkowników

1. Integracja urządzenia z bazą Active Directory

Po zalogowaniu się do urządzenia przechodzimy do menu Użytkownicy -> Konfiguracja bazy LDAP. Naszym oczom powinien ukazać się kreator. W pierwszym kroku wybieramy rodzaj bazy LDAP – w naszym przypadku będzie to baza Microsoft Active Directory:

Następnie należy wskazać obiekt sieciowy, który reprezentuje adres naszego serwera z bazą Active Directory, port (domyślnie jest to obiekt ldap – 389 TCP). Jako domenę podajemy nazwę naszej domeny w formacie dc=domena, dc=local – w naszym przykładzie integracja odbywa się dla domeny support.local (DC=support,DC=local). W ostatnim polu podajemy nazwę użytkownika oraz grupę, do której dany użytkownik należy (w naszym przykładzie będzie to utworzony w Active Directory użytkownik stormshield, który należy do grupy users (CN=stormshield,CN=Users).

Powyższe parametry można odnaleźć bezpośrednio we właściwościach użytkownika bezpośrednio w Active Directory. Potrzebne parametry możemy odnaleźć w zakładce Attribute Editor pod pozycją distinguishedName (informacje te dostępne będą po włączeniu widoku zaawansowanego):

W celu weryfikacji poprawności konfiguracji przechodzimy do sekcji Użytkownicy -> Użytkownicy i grupy, a następnie wybieramy pozycję Użytkownicy. Jeżeli wyświetli się nam lista użytkowników będzie to oznaczało, że integracja z serwerem Active Directory przebiegła pomyślnie:

2. Transparentna autoryzacja za pomocą agenta SSO

W celu zapewnienia transparentnej autoryzacji dla użytkowników Active Directory należy zainstalować oprogramowanie „Agent SSO” na kontrolerze domeny oraz skonfigurować połączenia na urządzeniu.

Najnowszą dostępną wersję Agenta SSO można pobrać ze strefy klienta (https://mystormshield.eu) w sekcji Download -> Software.

2.1 Instalacja Agenta SSO na kontrolerze domeny

Podczas instalacji oprogramowania na kontrolerze domeny wybieramy opcję w zależności gdzie będzie znajdowało się oprogramowanie. W naszym przypadku instalacja odbywa się bezpośrednio na kontrolerze domeny dlatego wybieramy pierwszą opcję:

Następnie należy podać hasło współdzielone, które później będziemy musieli podać również po stronie konfiguracji urządzenia:

2.2 Konfiguracja urządzenia w celu połączenia z agentem SSO

W ostatnim kroku należy zalogować się do urządzenia i przejść do menu Użytkownicy -> Portal autoryzacji, a następnie dodać nową metodę autoryzacji o nazwie Agent SSO:

Po dodaniu nowej metody we właściwościach należy wskazać adres, pod którym jest zainstalowany agent SSO (w naszym przypadku jest to ten sam obiekt: AD), a następnie podać hasło, które zostało zdefiniowane podczas instalacji agenta na kontrolerze domeny i wskazać adres kontrolera domeny (w naszym przypadku również będzie to obiekt AD):

Po wprowadzeniu nowej metody uwierzytelniania zapisujemy konfigurację.

W ostatnim kroku przechodzimy do zakładki Metoda uwierzytelniania w menu Użytkownicy -> Portal autoryzacji, gdzie dodajemy nową regułę domyślną:

Naszym oczom powinien ukazać się kreator, w którym na samym początku wybieramy obiekt Any user@domena, który wskazuje dowolnego użytkownika z dodanej przez nas domeny (w naszym przykładzie była to domena Support - Any User@support.local). Po kliknięciu na Ok, zostaniemy przeniesieni do kolejnego okna kreatora, w którym należy wskazać obiekt Network_internals. W ostatnim kroku wybieramy metodę uwierzytelniania Agent SSO:

Utworzona reguła powinna wyglądać w następujący sposób:

Na koniec zatwierdzamy wprowadzone zmiany.

UWAGA

Firma DAGMA, dystrybutor rozwiązań STORMSHIELD w Polsce, dokłada wszelkich starań, aby zapewnić dostęp do materiałów i instrukcji produktów firm trzecich oraz możliwości ich integracji z rozwiązaniami firmy STORMSHIELD jednak nie odpowiada za świadczenie wsparcia technicznego dla tych produktów.

Usługa Active Directory nie jest produktem firmy STORMSHIELD.