Authentication Servers und SSO für Sophos UTM einrichten…

Diese Anleitung beschäftigt sich mit der Anbindung einer Sophos UTM an ein Microsoft Active Directory inklusive Single Sign-On (SSO). Die UTM wird dadurch in der Lage sein, Gruppen- und Benutzerinformationen aus dem AD abzufragen.

Ziel ist es, Berechtigungen und Ressourcen auf der UTM über Gruppenmitgliedschaften im Active Directory zuzuweisen.

Vorbereitend sollte man eine DNS-Anfrageroute in den DNS-Einstellungen konfigurieren. Unter Netzwerkdienste -> DNS -> Anfrageroute lässt sich diese hinzufügen. Im weiteren Verlauf gehe ich von der Domäne domain.local aus. Als Zielserver wird der interne DNS-Server eingetragen, der für die Domäne zuständig ist. Hier ist der Domaincontroller auch gleichzeitig DNS-Server.

Auf dem internen DNS-Server sollte man einen A-Record (sophos.domain.local) anlegen, der auf die interne IP-Adresse der UTM zeigt.

Danach legt man sich einen Servicebenutzer im Active Directory an. In diesem Beispiel wird der Benutzer „sophos_utm“ im Container „Users“ angelegt.

Anschließend navigiert man zu Definitionen & Benutzer -> Authentifizierungsdienste -> Server und erstellt einen neuen Auth-Server.

Unter Backend wählt man Active Directory aus und unter Server wird der entsprechnende DC eingetragen. Möchte man SSL bei der LDAP-Abfrage nicht verwenden, muss man den Port von 636 bzw 3269 auf 389 umändern. Bei der Bind DN benötigt die UTM den Distinguished Name des im AD angelegten Servicebenutzers „sophos_utm“. Dieser lautet in LDAP-Notation:

„cn=sophos_utm,cn=users,dc=domain,dc=local“

Abschließend muss das Kennwort des Servicebenutzers hinterlegt werden. Ob die Konfiguration funktioniert, lässt sich über den Test-Button herausfinden. Die Base DN ist übrigens optional.

Weitere Informationen über Distinguished Names findet Ihr hier: http://www.selfadsi.de

Zu guter Letzt aktiviert man Single Sign-On (SSO), indem die UTM der Domäne beitritt. Dies wird unter Definitionen & Benutzer -> Authentifizierungsdienste -> Single Sign-On vorgenommen. Der Vorgang sollte aufgrund der zuvor konfigurierten DNS-Anfrageroute reibungslos klappen.

In den Allgemeinen Einstellungen unter Definitionen & Benutzer -> Authentifizierungsdienste lasse ich die Benutzer übrigens immer automatisch erstellen. Die UTM generiert dem Benutzerobjekt dann nämlich auch ein Zertifikat.

Damit ist die Konfiguration abgeschlossen.

AD-Gruppen verknüpfen

Möchte man nun beispielsweise den Zugriff auf das User-Portal via AD-Gruppe steuern, legt man sich eine Sicherheitsgruppe (z.B. utm_portal) im AD an. Diese verknüpft man dann mit einer lokalen Gruppe der UTM.

Dazu erstellt man auf der UTM üblicherweise eine gleichnamige Gruppe unter Definitionen & Benutzer -> Benutzer & Gruppen -> Gruppen.  Der Gruppentyp ist dann natürlich die Backend-Mitgliedschaft via Active Directory.

Über das Ordnersymbol öffnet sich der Active Directory Browser. Dort navigiert man zum entsprechenden AD-Gruppenobjekt und weist es via Drag&Drop in das DND-Feld zu.

Die verknüpfte Gruppe kann nun in den Benutzerportal-Optionen zugeteilt werden.

Ein Domänenbenutzer kann sich nun mit seinen Domänen- Anmeldedaten am Userportal anmelden, sofern er Mitglied der AD-Gruppe UTM-Portal ist. Die Anmeldung am Userportal erfolgt ohne Domänenangabe nur mit dem Benutzernamen (domäne\username und username@domäne entfällt).

Das Ganze ist natürlich nicht nur auf das Userportal beschränkt. Man kann zum Beispiel Surfcontrol-Gruppen für den Webfilter konfigurieren, um Ressourcen gruppengesteuert via AD freizugeben. Die Berechtigungen für Fernzugriffe lassen sich übrigens auch sehr gut über AD-Gruppen zuweisen.