ActiveDirectory SSO

firmware 4.x LDAP active directory sso

 

Integracja urządzenia Stormshield z bazą Active Directory i konfiguracja agenta SSO dla transparentnej autoryzacji użytkowników

1. Integracja urządzenia z bazą Active Directory

Pierwszym krokiem, który należy wykonać jest przejście do zakładki Konfiguracja, gdzie będziemy wykonywali wszystkie zmiany.

Następnie rozwijamy menu Użytkownicy i przechodzimy do Konfiguracja Bazy LDAP. Przejście spowoduje automatyczne uruchomienie Kreatora Konfiguracji. Jeżeli mamy już skonfigurowaną bazę to wystarczy kliknąć w Dodaj nowy LDAP

W kreatorze wybieramy Utwórz wewnętrzną bazę LDAP, jak na powyższym zrzucie ekranu i klikamy w Dalej.

Następnie wypełniamy formularz kreatora konfiguracji. Podajemy nazwę naszej domeny, a następnie wskazujemy obiekt sieciowy, który reprezentuje adres naszego serwera z bazą Active Directory. Jeżeli nie mamy to możemy go utworzyć za pomocą przycisku tworzenia obiektów. Portem domyślnie jest obiekt ldap (389 TCP). Jako Domena typu root (Base DN) podajemy nazwę naszej domeny w formacie dc=domena, dc=local – w naszym przykładzie integracja odbywa się dla domeny support.local (DC=support,DC=local). W przedostatnim polu podajemy nazwę użytkownika oraz grupę, do której dany użytkownik należy (w naszym przykładzie będzie to utworzony w Active Directory użytkownik stormshield, który należy do grupy CN=stormshield,CN=Users). W ostatnim polu podajemy hasło wyżej wskazanego użytkownika.

Parametry użytkownika można odnaleźć bezpośrednio we właściwościach użytkownika bezpośrednio w Active Directory. Potrzebne parametry możemy odnaleźć w zakładce Attribute Editor pod pozycją distinguishedName (informacje te dostępne będą po włączeniu widoku zaawansowanego):

W celu weryfikacji poprawności konfiguracji przechodzimy do sekcji Użytkownicy -> Użytkownicy i grupy, a następnie wybieramy pozycję Użytkownicy. Jeżeli wyświetli się nam lista użytkowników będzie to oznaczało, że integracja z serwerem Active Directory przebiegła pomyślnie:

2. Transparentna autoryzacja za pomocą agenta SSO

W celu zapewnienia transparentnej autoryzacji dla użytkowników Active Directory należy zainstalować oprogramowanie „Agent SSO” na kontrolerze domeny oraz skonfigurować połączenia na urządzeniu

Najnowszą dostępną wersję Agenta SSO można pobrać ze strefy klienta (https://mystormshield.eu) w sekcji Download -> Software.

2.1 Instalacja Agenta SSO na kontrolerze domeny

Podczas instalacji oprogramowania na kontrolerze domeny wybieramy opcję w zależności gdzie będzie znajdowało się oprogramowanie. W naszym przypadku instalacja odbywa się bezpośrednio na kontrolerze domeny dlatego wybieramy pierwszą opcję:

Następnie należy podać hasło współdzielone, które później będziemy musieli podać również po stronie konfiguracji urządzenia:

2.2 Konfiguracja urządzenia w celu połączenia z agentem SSO

W ostatnim kroku należy zalogować się do urządzenia i przejść do menu Użytkownicy -> Portal uwierzytelniania, a następnie dodać nową metodę autoryzacji o nazwie Agent SSO:

Po dodaniu nowej metody we właściwościach należy wskazać domenę, do której Agent SSO ma się odnosić, adres IP pod którym jest zainstalowany agent SSO (w naszym przypadku jest to ten sam obiekt: AD), a następnie podać hasło, które zostało zdefiniowane podczas instalacji agenta na kontrolerze domeny i wskazać adres kontrolera domeny (w naszym przypadku również będzie to obiekt AD):

Po wprowadzeniu nowej metody uwierzytelniania zapisujemy konfigurację.

W ostatnim kroku przechodzimy do zakładki Metoda uwierzytelniania w menu Użytkownicy -> Portal autoryzacji, gdzie dodajemy nową regułę domyślną:

Naszym oczom powinien ukazać się kreator, w którym na samym początku wybieramy obiekt Any user@domena, który wskazuje dowolnego użytkownika z dodanej przez nas domeny (w naszym przykładzie była to domena Support - Any User@support.local). Po kliknięciu na Ok, zostaniemy przeniesieni do kolejnego okna kreatora, w którym należy wskazać obiekt Network_internals. W ostatnim kroku wybieramy metodę uwierzytelniania Agent SSO:

Utworzona reguła powinna wyglądać w następujący sposób:

Na koniec zatwierdzamy wprowadzone zmiany.

UWAGA

Firma DAGMA, dystrybutor rozwiązań STORMSHIELD w Polsce, dokłada wszelkich starań, aby zapewnić dostęp do materiałów i instrukcji produktów firm trzecich oraz możliwości ich integracji z rozwiązaniami firmy STORMSHIELD jednak nie odpowiada za świadczenie wsparcia technicznego dla tych produktów.

Usługa Active Directory nie jest produktem firmy STORMSHIELD.