Anleitung: Authentication Servers und SSO für Sophos UTM einrichten…

Diese Anleitung beschäftigt sich mit der Anbindung einer Sophos UTM an ein Microsoft Active Directory inklusive Single Sign-On (SSO).

Die UTM wird dadurch in der Lage sein, Gruppen- und Benutzerinformationen aus dem AD abzufragen. Ziel ist es, Berechtigungen und Ressourcen auf der UTM über Gruppenmitgliedschaften im Active Directory zuzuweisen.

 

Vorbereitend sollte man eine DNS-Anfrageroute in den DNS-Einstellungen konfigurieren. Unter Netzwerkdienste -> DNS -> Anfrageroute lässt sich diese hinzufügen. Im weiteren Verlauf gehe ich von der Domäne domain.local aus. Als Zielserver wird der interne DNS-Server eingetragen, der für die Domäne zuständig ist. Hier ist der Domaincontroller auch gleichzeitig DNS-Server.

Auf dem internen DNS-Server sollte man einen A-Record (sophos.domain.local) anlegen, der auf die interne IP-Adresse der UTM zeigt.

Danach legt man sich einen Servicebenutzer im Active Directory an. In diesem Beispiel wird der Benutzer „sophos_utm“ im Container „Users“ angelegt.

Anschließend navigiert man zu Definitionen & Benutzer -> Authentifizierungsdienste -> Server und erstellt einen neuen Auth-Server.

Unter Backend wählt man Active Directory aus und unter Server wird der entsprechnende DC eingetragen. Möchte man SSL bei der LDAP-Abfrage nicht verwenden, muss man den Port von 636 bzw 3269 auf 389 umändern. Bei der Bind DN benötigt die UTM den Distinguished Name des im AD angelegten Servicebenutzers „sophos_utm“. Dieser lautet in LDAP-Notation:

„cn=sophos_utm,cn=users,dc=domain,dc=local“

Abschließend muss das Kennwort des Servicebenutzers hinterlegt werden. Ob die Konfiguration funktioniert, lässt sich über den Test-Button herausfinden. Die Base DN ist übrigens optional.

Weitere Informationen über Distinguished Names findet Ihr hier: http://www.selfadsi.de

Zu guter Letzt aktiviert man Single Sign-On (SSO), indem die UTM der Domäne beitritt. Dies wird unter Definitionen & Benutzer -> Authentifizierungsdienste -> Single Sign-On vorgenommen. Der Vorgang sollte aufgrund der zuvor konfigurierten DNS-Anfrageroute reibungslos klappen.

In den Allgemeinen Einstellungen unter Definitionen & Benutzer -> Authentifizierungsdienste lasse ich die Benutzer übrigens immer automatisch erstellen. Die UTM generiert dem Benutzerobjekt dann nämlich auch ein Zertifikat.

Damit ist die Konfiguration abgeschlossen.

AD-Gruppen verknüpfen

Möchte man nun beispielsweise den Zugriff auf das User-Portal via AD-Gruppe steuern, legt man sich eine Sicherheitsgruppe (z.B. utm_portal) im AD an. Diese verknüpft man dann mit einer lokalen Gruppe der UTM.

Dazu erstellt man auf der UTM üblicherweise eine gleichnamige Gruppe unter Definitionen & Benutzer -> Benutzer & Gruppen -> Gruppen.  Der Gruppentyp ist dann natürlich die Backend-Mitgliedschaft via Active Directory.

Über das Ordnersymbol öffnet sich der Active Directory Browser. Dort navigiert man zum entsprechenden AD-Gruppenobjekt und weist es via Drag&Drop in das DND-Feld zu.

Die verknüpfte Gruppe kann nun in den Benutzerportal-Optionen zugeteilt werden.

Ein Domänenbenutzer kann sich nun mit seinen Domänen- Anmeldedaten am Userportal anmelden, sofern er Mitglied der AD-Gruppe UTM-Portal ist. Die Anmeldung am Userportal erfolgt ohne Domänenangabe nur mit dem Benutzernamen (domäne\username und username@domäne entfällt).

Das Ganze ist natürlich nicht nur auf das Userportal beschränkt. Man kann zum Beispiel Surfcontrol-Gruppen für den Webfilter konfigurieren, um Ressourcen gruppengesteuert via AD freizugeben. Die Berechtigungen für Fernzugriffe lassen sich übrigens auch sehr gut über AD-Gruppen zuweisen.

5 Gedanken zu „Anleitung: Authentication Servers und SSO für Sophos UTM einrichten…

  1. Gysbert

    Hallo und guten Abend…und ein gutes neues Jahr,

    das Tutorial war Super und hat zu einem Erfolg geführt!!! Auch die Einbindung meiner PKI und der Link zu „Frankys Web“ war toll!!!!

    Lieben Dank noch einmal

    Antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.