Wie man Kerberos-Authentifizierung aktiviert

Konfigurieren Sie die Kerberos-Authentifizierung in XG Firewall.

Zielsetzungen

Wenn Sie diese Einheit abschließen, wissen Sie, wie Sie folgendes tun:
  • Geben Sie einen Hostnamen für XG Firewall an.
  • Konfigurieren Sie einen Active-Directory-Server.
  • Vergewissern Sie sich, dass der Active-Directory-Server der primäre Dienst für die Authentifizierung ist.
  • Aktivieren Sie AD SSO für die Zonen, für die Kerberos-Authentifizierung erforderlich ist.
  • Aktivieren Sie die Kerberos-Authentifizierung für Webauthentifizierung.

Hostname konfigurieren

Für Dienste wie Kerberos ist ein vollständig qualifizierter Hostname erforderlich, um korrekt zu funktionieren.

  1. Gehen Sie zu Verwaltung > Admin-Einstellungen.
  2. Geben Sie bei Hostname einen FQDN ein. Beispiel: SFOS.customer.local
    Anmerkung Standardmäßig wird die Seriennummer als Hostname verwendet, wenn Sie während der Ersteinrichtung von XG Firewall keinen bestimmten FQDN-Hostnamen konfigurieren.
  3. Klicken Sie auf Übernehmen.

Active-Directory-Server hinzufügen

Zunächst fügen Sie einen Active-Directory-Server hinzu, der eine Suchabfrage besitzt.

Sie werden die folgenden Informationen benötigen, um die Aufgabe abzuschließen:
  • Domänenname
  • NetBIOS Domäne
  • Active-Directory-Server-Kennwort

Überprüfen Sie den Eigenschaften des Active-Directory-Servers. Gehen Sie zum Beispiel bei Microsoft Windows zu Verwaltungstools.

Suchabfragen basieren auf dem Domänennamen (DN). In diesem Beispiel ist der Domänenname sophos.com, daher ist die Suchabfrage: dc=sophos,dc=com.

  1. Gehen Sie zu Authentifizierung > Server und klicken Sie auf Hinzufügen.
  2. Legen Sie die Einstellungen fest.
    Anmerkung Für Einstellungen, die hier nicht aufgeführt sind, verwenden Sie den Standardwert.
    Verwenden Sie das Kennwort, das auf dem Active-Directory-Server konfiguriert ist.
    OptionBezeichnung
    Servertyp Active Directory
    Servername My_AD_Server
    Server-IP/Domäne 192.168.1.100
    NetBIOS-Domäne sophos
    ADS-Benutzername administrator
    Kennwort <AD-Serverkennwort>
    Domänenname sophos.com
    Suchanfragen dc=sophos,dc=com
  3. Klicken Sie auf Verbindung testen, um die Benutzerzugangsdaten zu validieren und die Verbindung zum Server zu testen.
    Anmerkung Wenn sowohl synchronisierte Benutzer-ID als auch STAS konfiguriert sind, verwendet der Authentifizierungsserver den Mechanismus, von dem er die Anmeldeanforderung zuerst empfängt.
  4. Klicken Sie auf Speichern.

Primäre Authentifizierungsmethode festlegen

Um zuerst den Active-Directory-Server abzufragen, legen Sie ihn als erste Authentifizierungsmethode fest. Wenn sich ein Benutzer das erste Mal an der Firewall anmeldet, wird er automatisch als Mitglied zur Standardgruppe hinzufügt.

  1. Gehen Sie zu Authentifizierung > Dienste.
  2. In der Authentifizierungsserver-Liste Firewall-Authentifizierungsmethoden, wählen Sie My_AD_Server aus.
  3. Schieben Sie den Server zur ersten Position auf der Liste der ausgewählten Server.
    Primäre Authentifizierungsmethode Active Directory-Server
  4. Klicken Sie auf Übernehmen.

Gehen Sie zu Authentifizierung > Gruppen und überprüfen Sie die importierten Gruppen.

AD SSO für LAN-Zonen aktivieren

Aktivieren Sie Active-Directory-Authentifizierung für die erforderlichen Zonen.

Die Active-Directory-Authentifizierung ist erforderlich, damit Kerberos oder NTLM funktionieren.

  1. Gehen Sie zu Verwaltung > Appliance-Zugriff.
  2. Verwenden Sie das Kontrollkästchen, um AD SSO für die LAN-Zone zu aktivieren. Bei Bedarf können Sie auch AD SSO für andere Zonen aktivieren.
  3. Klicken Sie auf Übernehmen

Kerberos-Authentifizierung für Webauthentifizierung aktivieren

Ermöglicht Browsern, sich mit Kerberos zu authentifizieren.

  1. Gehen Sie zu Authentifizierung > Webauthentifizierung.
  2. Stellen Sie sicher, dass Kerberos & NTLM unter Wenn Active Directory (AD) SSO konfiguriert ist ausgewählt ist.
  3. Klicken Sie auf Übernehmen.

Kerberos-Verbindung prüfen

Verwenden Sie die Protokollansicht, um zu prüfen, ob Kerberos funktioniert.

Nach der Konfiguration von Kerberos können Sie überprüfen, ob Internetanfragen korrekt authentifiziert werden.

  1. Öffnen Sie die Protokollansicht.
  2. Wählen Sie in der Auswahlliste die Protokolle Authentifizierung aus.
  3. Öffnen Sie eine Webseite in Ihrem Browser.
  4. Überprüfen Sie, ob Kerberos das Authentifizierungsprotokoll ist, das in der Spalte Protokollkomponente für die Internetanfrage verwendet wird.