Transparente Authentifizierung mithilfe von STAS konfigurieren

Clientloses SSO in der Form von Sophos Transparent Authentication Suite (STAS). Sie können STAS in eine Umgebung mit einem einzigen Active-Directory-Server integrieren.

Zielsetzungen

Wenn Sie diese Einheit abschließen, wissen Sie, wie Sie folgendes tun:
  • STAS installieren und einen Agent und einen Collector konfigurieren.
  • STAS in die Firewall integrieren.
  • Live-Benutzer verifizieren.

Systemsicherheit konfigurieren

Konfigurieren Sie Überwachungsrichtlinien, weisen Sie Benutzerrechte zu und ändern Sie Firewall-Einstellungen.

  1. Klicken Sie in Windows auf die Schaltfläche Start und gehen Sie zu Verwaltung > Lokale Sicherheitsrichtlinie.
  2. Gehen Sie zu Lokale Richtlinien > Überwachungsrichtlinie und öffnen Sie Anmeldeereignisse überwachen.
  3. Wählen Sie die Optionen Erfolgreich und Fehler aus und klicken Sie auf OK.
    Kontoanmeldung Windows-Sicherheit
  4. Gehen Sie zu Lokale Richtlinien > Zuweisen von Benutzerrechten und öffnen Sie Anmelden als Dienst.
  5. Wenn der administrative Benutzer, der STAS installiert und betreibt, nicht aufgeführt ist, klicken Sie auf Benutzer oder Gruppen hinzufügen, fügen Sie den Benutzer hinzu und klicken Sie auf OK.
  6. Öffnen Sie Ports.
    Konfigurieren sie die Windows-Firewall und Firewalls von Drittanbietern, um die Kommunikation über folgende Ports zu ermöglichen:
    • AD-Server: Eingehend UDP 6677, Ausgehend UDP 6060, Ausgehend TCP 135 und 445 (wenn die Workstation-Polling-Methode WMI oder Registry Read Access verwendet werden), Ausgehend ICMP (wenn Logoff Detection Ping verwendet wird), Eingehend/Ausgehend UDP 50001 (Collector-Test), Eingehend/Ausgehend TCP 27015 (Konfigurationssychronisierung).
    • Arbeitsplatzrechner: Eingehend TCP 135 & 445 (wenn die Workstation-Polling-Methode WMI oder Registry Read Access verwendet werden), Eingehend ICMP (wenn Logoff Detection Ping verwendet wird).
    Anmerkung Die Dienste RPC, RPC locator, DCOM und WMI sollten auf Arbeitsplatzrechnern aktiviert sein für WMI/Registry Read Access.

STAS installieren

Laden Sie STAS herunter und installieren Sie es auf dem Active-Directory-Server.

  1. Gehen Sie auf der Firewall zu Authentifizierung > Client-Downloads und laden Sie Sophos Transparent Authentication Suite (STAS) herunter.
  2. Verschieben Sie das Installationsprogramm auf den Active-Directory-Server.
  3. Starten Sie das Installationsprogramm auf dem Active-Directory-Server und klicken Sie auf Next.
    STAS-Einrichtungsassistent
  4. Folgen Sie dem Einrichtungsassistenten, um Zielorte und andere Optionen anzugeben. Klicken Sie danach auf Installieren.
  5. Wählen Sie SSO-Suite aus und klicken Sie auf Next.
    STAS-Einrichtung: SSO wählen
  6. Geben Sie die Administratorzugangsdaten ein und klicken Sie auf Next.
  7. Klicken Sie auf Finish.

STAS konfigurieren

Konfigurieren Sie einen Collector, einen Agent und allgemeine Einstellungen.

  1. Starten Sie STAS auf dem AD-Server, klicken Sie auf das Tab STA-Collektor und legen Einstellungen fest.
    Anmerkung Für Einstellungen, die hier nicht aufgeführt sind, verwenden Sie den Standardwert.
    OptionBezeichnung
    Sophos Appliances 192.168.1.251
    Workstation polling method WMI
    STA-Kollektor von STAS
  2. Klicken Sie auf das Tab STA Agent und legen Einstellungen fest.
    OptionBezeichnung
    Legen Sie die Netzwerke fest, die überwacht werden sollen. 192.168.1.0/24
  3. Klicken Sie auf das Tab General und legen Einstellungen fest.
    OptionBezeichnung
    NetBIOS-Name TESTLAB
    Vollständiger Domänenname testlab.com
  4. Klicken Sie auf Apply.
  5. Klicken Sie auf Start, um den STAS-Dienst zu starten.

STAS in die Firewall integrieren

Aktivieren Sie STAS auf der Firewall und fügen Sie einen neuen Collector hinzu. Öffnen Sie danach STAS auf dem AD-Server und überprüfen Sie, ob die IP-Adresse der Firewall angezeigt wird. Erstellen Sie schließlich eine Firewallregel, um Datenverkehr basierend auf der Benutzeridentität zu kontrollieren.

Bevor Sie STAS integrieren, gehen Sie zu Authentifizierung > Dienste und wählen Sie Ihren AD-Server als primäre Authentifizierungsmethode aus.

Primäre Authentifizierungsmethode Active Directory-Server
  1. Gehen Sie auf der-Firewall zu Authentifizierung > STAS.
  2. Schalten Sie Sophos Transparent Authentication Suite einschalten ein und klicken Sie auf STAS aktivieren.
    STAS aktivieren
  3. Klicken Sie auf Neuen Kollektor hinzufügen und legen Sie die Einstellungen fest.
    OptionBezeichnung
    Kollektor-IP 192.168.1.10
  4. Klicken Sie auf Speichern.
    Die Firewall versucht, STAS auf dem AD-Server über UDP 6060 zu kontaktieren.
  5. Starten Sie STAS auf dem AD-Server und klicken Sie auf das Tab Allgemein.
    Sie sollten die IP-Adresse der Firewall in der Liste der Sophos Appliances sehen. Das bedeutet, dass STAS mit der Firewall verbunden ist.
    STAS allgemein
  6. Gehen Sie zu Firewall, klicken Sie auf Firewallregel hinzufügen > Benutzer-/Netzwerkregel und erstellen Sie eine identitätsbasierte Regel, um den Datenverkehr basierend auf der Benutzeridentität zu kontrollieren.
    STAS-Regel

Live-Benutzer verifizieren

Sobald sich Benutzer erfolgreich an der Domäne authentifiziert haben, können Sie sie als Live-Benutzer sowohl auf STAS als auch auf der Firewall sehen.

  1. Auf STAS, gehen Sie zu Advanced und wählen Sie Show live users.
    STAS erweitert
    STAS Live-Benutzer
  2. Gehen Sie auf der Firewall zu Aktuelle Aktivitäten > Live-Benutzer.
    Live-Benutzer