In diesem Artikel möchte ich nachbauen, wie Sophos Firewall konfiguriert wird, um Benutzer gegen ein Active Directory zu authentifizieren. Dabei stütze ich mich auf das Howto von Sophos, welches Ihr hier nachlesen könnt: Configure Active Directory authentication.
Authentication Server
Ich verwende in meiner Testumgebung einen Windows Server 2019 mit Domäne sult.eu und einen Serviceaccount, der AD-Abfragen durchführen kann. Zunächst fügt man unter SFOS bei Configure -> Authentication -> Servers seinen Domaincontroller hinzu wie in folgender Abbildung zu sehen ist:
Der Servername ist in dieser Konfiguration DC01. Für die empfohlene Verwendung von LDAPs verwendet Ihr Port 636. Die Domäne in meiner Umgebung lautet sult.eu mit der Netbios domain sult. Unter ADS user name wird der AD-Serviceaccount mit dem entsprechenden Passwort hinterlegt. In den Searchqueries lassen sich mehrere Einstiegspunkte in der AD-Struktur hinterlegen. Da meine Testumgebung sehr klein ist, fange ich in ldap-Notation bei dc=sult,dc=eu an. Klickt unten auf Test Connection und speichert die Konfiguration, wenn alles grün ist. Ihr solltet das Objekt jetzt in Eurer Liste sehen:
Group Import
Jetzt habt Ihr die Möglichkeit, mit Hilfe eines Assistenten Gruppen aus dem AD zu importieren. Anders als bei UTM, was ich hier beschrieben habe, müssen keine Sophos-Gruppen mehr manuell mit AD-Gruppen verknüpft werden. Klickt auf das gelb markierte Import-Symbol wie in Abbildung oben und es öffnet sich der Assistent:
Dort könnt Ihr jetzt die Base DN auswählen, falls Ihr mehrere Search Queries konfiguriert habt. Klickt anschließend auf den rechten Pfeil, um zu Schritt 2 zu gehen:
Jetzt solltet Ihr in Eurer AD-Struktur die Gruppen selektieren, die Ihr importieren möchtet. Klickt weiter zum nächsten Schritt:
In Step 3 könnt Ihr via Bulk-Action sämtlichen importieren Gruppen Richtlinien zuweisen. Solltet Ihr die Haken entfernen, konfiguriert Ihr die Gruppen einzeln in Schritt 4. Führt den Assistenten nach dem Schema „weiter, weiter, fertigstellen“ aus. Anschließend werden Euch die Gruppen unter Configure -> Authentication -> Groups aufgelistet:
Wenn sich jetzt ein Benutzer an der Firewall anmeldet, wird er automatisch zu dieser Gruppe hinzugefügt, sofern er die Gruppenmitgliedschaft im AD besitzt.
Primary Authentication method
Solltet Ihr den DC als primäre Authentifizierungsmethode wählen wollen, könnt Ihr dies unter Configure -> Authentication -> Services einstellen. Einfach den DC auswählen und dann in der Auswahl das Objekt via DND nach oben schieben, um die Reihenfolge zu ändern:
An dieser Stelle endet das Howto von Sophos und die Einrichtung ist soweit abgeschlossen. Falls Ihr weitere Informationen zum Hinzufügen eines DC zu SFOS benötigt, verwendet Ihr das Dokument Add an Active Directory server.