Bài viết hướng dẫn cách cấu hình STAS, đây là tính năng cung cấp khả năng xác thực người dùng trong mạng nội bộ một cách tự động chỉ cần đăng nhập trên máy trạm của người dùng. Và cũng không cần phải cài đặt SSO ở trên mỗi máy trạm. Dễ dàng sử dụng cho end user và mức độ bảo mật cao hơn.
Chi tiết sơ đồ mạng
AD server có địa chỉ IP 172.17.17.100/24
Các máy trạm trong mạng được cấp IP động với lớp mạng 172.17.17.0/24
Gateway của các máy trạm là thiết bị Sophos XG có IP 172.17.17.17/24
Tình huống cấu hình
Bài viết sẽ thực hiện cấu hình STAS trên thiế bị Sophos firewall và AD server để máy trạm của người dùng trong môi trường domain chỉ cần đăng nhập username và password là có thể được xác thực cả trên Sophos firewall. Tài khoản username và password đã được đồng bộ hoá giữa AD server và Sophos firewall.
Đồng thời sử dụng firewall rule với source identity là group và user và web policy để kiểm tra hoạt động mạng của người dùng domain.
Đồng thời show các thông tin về group, user trên các giao diện report, monitoring, logging
Các bước cấu hình
- Cấu hình ADS
- Download STAS
- Cài đặt STAS trên AD
- Cấu hình STAS
- Thêm AD server vào Sophos XGS để xác thực user domain
- Điều chỉnh cấu hình Service để xác thực bằng AD server
- Cấu hình STAS trên XGS firewall
- Tạo firewall rule với source identity là group, user để sử dụng xác thực STAS
- Kiểm tra hoạt động STAS
- Kiểm tra giao diện report, monitoring, logging
Hướng dẫn cấu hình
B1: Cấu hình ADS
Cấu hình trên AD
- Start -> Administrative Tools -> Local Security Policy để xem settings bảo mật
- Security Settings -> Local Policies -> Audit Policy -> Audit account logon -> Nhấp chuột phải ở Audit account logon events -> Chọn Properties
- Chọn cả hai Success và Failure -> Nhấn OK
- Local Security Policy -> Security Settings -> Local policies -> User Rights Assignment -> Log on as a service -> Chuột phải ở Log on as a service -> Chọn Properties
- Nhấn Add User or Group -> Thêm user administrator -> Nhấn OK
B2: Download STAS
- Đăng nhập vào AD bằng tài khoản Administrator
- Đăng nhập vào giao diện đồ hoạ của Sophos XG bằng tài khoản Admin
- Authentication -> Nhấn vào icon … -> Chọn Client Download để download file cài đặt -> Cài đặt trên AD Server
- Bạn có thể download STAS từ trang Download Client trên User Portal khi logging bằng tài khoản Admin
B3: Cài đặt STAS trên AD
- Cài đặt STAS đã download trước đó, nhấn Next 4 lần -> Nhấn Install
- Chọn SSO và nhấn Next
- Nhập username và password tài khoản administrator domain ([email protected]) -> Nhấn Next
- Nhấn Finish để hoàn thành cài đặt
B4: Cấu hình STAS
- Mở STAS bằng cách nhấp double vào Sophos Transparent Authentication Suite trên màn hình desktop
- Trên STA Collector tab
- Ở mục Sophos Appliance -> Nhấn Add để thêm địa chỉ IP của port LAN của Sophos XG
- Ở Workstation Polling Settings: Chọn WMI
- Ở Logoff Detection Settings và Appliance Port -> Giữ cấu hình default
-> Nhấn Apply
- Trên STA Agent tab
- Ở mục Monitor Networks -> Nhấn Add để thêm LAN network mà bạn muốn xác thực
-> Nhấn Apply
- Ở General tab
- Nhập NetBIOS của domain
- Nhập FQDN của domain
- Nhấn Start để khởi động STAS
-> Nhấn Apply -> Nhấn OK
B5: Thêm AD server vào Sophos XGS để xác thực user domain
Cấu hình trên Sophos XG
Authentication -> Server -> Nhấn Add
- Ở mục Server type: Chọn Active Directory
- Server name: Nhập tên server mà bạn muốn quản lý
- Server IP/domain: Nhập địa chỉ IP của AD
- Port: 389
- NetBIOS domain: Nhập tên NetBIOS của AD
- ADS username: Nhập administrator
- Password: Nhập password của tài khoản administrator
- Connection security: Chọn Simple
- Display name attribute: Nhập tên cho server mà bạn muốn quản lý
- Email address attribute: Nhập email mà bạn muốn (có thể để trống)
- Domain name: Nhập domain name
- Search queries: Nhập domain name theo định dạng queries (VD: dc=vcf,dc=com)
-> Nhấn Test connection -> Nhấn Save
B6: Điều chỉnh cấu hình Service cho xác thực bằng AD server
Authentication -> Services
Ở Firewall authentication methods
- Chọn AD của bạn và bỏ chọn Local
- Ở Default group: Chọn OU mà bạn muốn thêm
-> Nhấn Apply
B7: Cấu hình STAS trên XGS firewall
- Authentication -> Bật STAS bằng cách chọn ON và nhấn Active STAS
- Nhập địa chỉ IP của AD Server ở mục Collector IP -> Nhấn Save
B8: Tạo firewall rule với source identity là group, user để sử dụng xác thực STAS
- STAS -> Nhấn Add Firewall rule để tạo firewall rules, kiểm soát traffic của user
B9: Kiểm tra hoạt động của STAS
- Tạo firewall rule LAN to WAN với web policy cho phép truy cập facebook.com nhưng không cho phép truy cập youtube.com
- Kiểm tra user đăng nhập trên AD và Sophos XG
- Trên máy trạm của người dùng, thực hiện truy cập web để kiểm tra policy
B10: Kiểm tra giao diện report, monitoring, logging
- Giao diện report
- Giao diện monitoring
- Giao diện logging