WatchGuard SSO -  SSO агент и клиентские сервисы SSO

 Когда пользователь пытается войти в систему на компьютерах, подключенных к сети, ему необходимо ввести имя пользователя и пароль. Если вы используете аутентификацию Active Directory на вашем Firebox для ограничения исходящего трафика определенных пользователей или групп пользователей, то им потребуется проходить аутентификацию вручную. Вы можете использовать SSO для того, чтобы пользователи доверенной или опциональной сети аутентфицировались автоматически при входе в систему на своем компьютере.

При использовании Single Sign-On (SSO) пользователи, подключенные к Trusted или Optional сетям, после входа в систему на своем компьютере автоматически аутентифицируются на устройстве Firebox. WatchGuard SSO состоит из двух компонентов - SSO агент и клиентские сервисы SSO. Для корректной работы SSO вам необходимо установить SSO агент на компьютеры в вашем домене. ПО клиента SSO является дополнительным и устанавливается на каждый компьютер.

SSO агент отправляет запрос на компьютер пользователя через 4116 для проверки, кто на данный момент подключен к нему. Если компьютер клиента не отвечает, SSO агент возвращается к предыдущему протоколу из более ранних версий WSM, и отправляет запрос NetWkstaUserEnum на компьютер пользователя. Полученную от компьютера информацию SSO агент использует для аутентификации Single Sign-On.

Если SSO клиент не установлен, то SSO может получить от компьютера пользователя несколько ответов на запрос. Это может произойти если к компьютеру подключено на данный момент несколько пользователей, или если под своей учетной записью к компьютеру подключается определенный сервис. SSO агент обрабатывает только первый полученный ответ и передает эту информацию Firebox, в качестве данных пользователя, который на данный момент подключен к компьютеру. Затем устройство может проверить данные пользователя при помощи настроенных для него политик. По умолчанию SSO агент кэширует эти данные примерно на 10 минут для того чтобы для каждого подключения снова не генерировать этот запрос.

Если клиент SSO установлен на компьютере, то при получении запроса от SSO агента и возвращает ему корректную информацию о том, какой пользователь на данный момент подключен к компьютеру. SSO агент не пытается подключиться к серверу Active Directory для получения данных пользователя, так как эти все необходимые данные он получит от клиента SSO, установленного на компьютере пользователя. Если в вашей сети одним компьютером могут пользоваться несколько пользователей, то мы вам рекомендуем установить клиент SSO. В противном случае вам необходимо понимать некоторые ограничения. Например, сервисам, установленным на центральный компьютер, (например клиент антивируса), которые входят в систему с атрибутами доступа учетной записи домена, Firebox предоставляет права доступа пользователя, который вошел в систему первым, а не права доступа пользователя, который только что вошел в систему. Также все сообщения журнала активности пользователя в качестве имени пользователя будут показывать имя учетной записи сервиса.

Если вы не хотите использовать SSO клиент, мы рекомендуем не использовать SSO в сетях, где пользователи подключаются к своим компьютерам под учетными записями сервисов или batch. Если к одному IP адресу привязано несколько пользователей, то сеть может некорректно работать. Это является риском для вашей системы безопасности
 
Перед тем, как начать

У вас должен сервер ActiveDirectory в Trusted и Optional сетях. Firebox должен использовать аутентификацию ActiveDirectory. Каждый пользователь должен иметь учетную запись на сервере ActiveDirectory.
Для корректной работы SSO каждый пользователь должен подключаться к учетной записи домена. Если пользователи входят в систему под локальной учетной записью, их данные не проверяются и не отправляются на устройство Firebox.

Если вы используете ПО брандмауэра стороннего производителя на компьютерах вашей сети, убедитесь, что на каждом клиенте открыт TCP порт 445 (Samba/ Windows Networking).
Убедитесь, что общие принтеры и файлы включены на каждом компьютере, пользователи которых используют SSO для аутентификации. Убедитесь, что порты NetBIOS и SMB не заблокированы на компьютерах, пользователи которых используют SSO для аутентификации. NetBIOS использует порты TCP/UDP 137, 138, и 139. SMB использует TCP порт 445. Убедитесь, что порт 4116 открыт на всех компьютерах. Убедитесь, что компьютеры, пользователи которых используют SSO для аутентификации, являются членами домена с установленными довериями.

НастройкаSSO
 
Для того чтобы использовать SSO, вам необходимо установить SSO агент. Мы также рекомендуем на все компьютеры установить SSOклиент. Несмотря на то, что для того чтобы работать с SSO вам достаточно будет установить SSO агент, для повышения уровня безопасности системы и управления доступом мы также рекомендуем установить SSO клиент

Настройка SSO состоит из 3 этапов:

Установка WatchGuard SSO агента.
Установка WatchGuard SSO клиента (необязательно, но рекомендуется).
Включение SSO на вашем устройстве.

Установка агента WatchGuard Single Sign-On (SSO) agent
 
Для работы с Single Sign-On (SSO) вам необходимо установить агент WatchGuard SSO. SSO агент – это сервис, который получает запросы на аутентификацию и проверяет статус пользователя на сервере Active Directory. Сервис запускается под именем WatchGuardAuthenticationGatewayна компьютере, на который вы установили SSO агент. Для корректной работы SSO агента, на компьютере должен быть установлен Microsoft .NET Framework 2.0 или выше.
Для того чтобы использовать Single Sign-On с вашим Firebox, вам необходимо установить SSO агент на компьютер домена со статическим IP адресом. Мы рекомендуем установить SSO агент на контроллер домена.
 
Загрузка SSO агента

• Зайдите на страницу http://www.watchguard.com/.
• Войдите в систему, используя имя пользователя и пароль LiveSecurityService.
• Нажмите на ссылку SoftwareDownloads.
• Выберите тип и номер модели вашего устройства.
• Загрузите WatchGuard Authentication Gateway.
• Перед тем, как установить

Сервис SSO агента должен быть запущен под учетной записью обычного пользователя, не администратора. Мы рекомендуем специально для агента создать отдельную учетную запись пользователя. Для корректной работы SSO агента вам необходимо настроить учетную запись следующим образом:

Добавьте учетную запись в группу Domain Admin.
Сделайте группу Domain Admin основной группой.
Разрешите учетной записи подключаться как сервис.
Сделайте срок действия пароля неограниченным.

Установка сервисаSSO агента

Для того чтобы запустить мастер Authentication Gateway Setup Wizard два раза нажмите на файл WG-Authentication-Gateway.exe. Для запуска мастера на некоторых других ОС вам возможно придется ввести локальный пароль администратора.

Выполните все необходимые инструкции мастера для установки SSO агента.Имя пользователя домена введите в следующем формате: domain\username. Имя домена не должно содержать «.com” или «.net». Например, если у вас есть домен mywatchguard.comи вы используете учетную запись домена ssoagent, то введите mywatchguard\ssoagent. Нажмите Finishдля того чтобы закрыть мастер.После окончания работы мастера сервис WatchGuard Authentication Gateway автоматически запустится и будет запускаться при каждой перезагрузке компьютера.

Установка клиента WatchGuard Single Sign-On (SSO)
 
Помимо SSO агента вы также можете установить клиент WatchGuardSingleSign-On (SSO). SSO клиент устанавливается, как сервис Windows, запущенный под учетной записью LocalSystem, и использующийся для проверки данных доступа пользователей, на данный момент подключенных к компьютеру. Когда пользователь пытается аутентифицироваться SSO агент отправляет запрос SSO клиенту для получения пользовательских данных доступа. SSO клиент в ответ возвращает атрибуты доступа пользователя, который на данный момент подключен к компьютеру. SSO клиент слушает порт 4116.
Так как программа установки SSO клиента является MSI файлом, то вы автоматически установить его на компьютеры пользователей, как только они подключаются к вашему домену. Для автоматической установки ПО на компьютеры пользователей вы можете использовать политику Active Directory Group Policy. 
 
ЗагрузкаSSO клиента

Зайдите на страницу http://www.watchguard.com/.
Войдите в систему, используя имя пользователя и пароль LiveSecurityService.
Нажмите на ссылку SoftwareDownloads.
Выберите тип и номер модели вашего устройства.
Загрузите WatchGuard Authentication Client.

Установка сервиса SSO клиента

Для того чтобы запустить мастер Authentication Client Setup Wizard два раза нажмите на файл WG-Authentication-Client.msi. Для запуска мастера на некоторых других ОС вам, возможно, придется ввести локальный пароль администратора.
Выполните все необходимые инструкции мастера для установки ПО.  Для того чтобы посмотреть доступных томов для установки и наличие свободного места на каждом нажмите DiskCost.
Когда установка будет завершена, нажмите Close.
После окончания работы мастера сервис WatchGuard Authentication Client автоматически запустится и будет запускаться при каждой перезагрузке компьютера.

Включение Single Sign-On (SSO)

Перед тем как настраивать SSO вам необходимо выполнить следующие действия:
Настройка сервера Active Directory
Установка агента SSO
Установка SSO клиента (дополнительно)

Включение и настройка SSO

В Policy Manager выберите SetupОткроется диалоговое окно Authentication Settings.
Включите опцию Enable Single Sign-On (SSO) with Active Directory



В поле SSOAgentIPaddressвведите IP адрес вашего SSO агента.
В поле Cachedataforвведите временной интервал, в течение которого SSO агент будет кэшировать данные.
В окне SSO Exceptions добавьте или удалите SSO исключения для IP адресов, на которые Firebox не будет отправлять SSO запросы – различные серверы или компьютеры, которые не являются частью домена. Вы можете ввести IP адрес хоста, IP адрес сети в slash-нотации или диапазон IP адресов.
Нажмите OKдля того чтобы сохранить сделанные изменения.

СозданиеSSO исключений

Если ваша сеть содержит устройства с IP –адресами, которым не требуется аутентификация, например принтеры или серверы сети, то их следует добавить в список SSO Exception в конфигурации SSO configuration.
При каждом подключении таких устройств с IP-адресами, которых нет в списке исключений Firebox вызывает агента SSO, чтобы он выполнил привязку IP адреса к имени пользователя. Эта процедура занимает примерно 10 секунд.
При помощи списков исключений вы можете ускорить эту процедуру, а также значительно снизить количество трафика в сети.

Типы Серверов Аутентификации

Firebox поддерживает 6 методов аутентификации:

• Настройка аутентификации RADIUS сервера
• Настройка аутентификации через VASCO сервер
• Настройка SecurID аутентификации
• Настройка аутентификации Active Directory
• Настройка LDAP аутентификации
• Вы можете использовать один или несколько способов аутентификации. Если вы будете использовать несколько методов аутентификации, то пользователям во время аутентификации необходимо будет выбирать необходимый метод аутентификации из выпадающего списка.

Серверы аутентификации сторонних производителей

Если вы используете сервер аутентификации стороннего производителя, вам нет необходимости хранить отдельную базу данных пользователей на Firebox. Вы можете настроить этот сервер в соответствие с инструкцией производителя, установить сервер с доступом к Firebox и в целях безопасности поместить его за Firebox.
Затем вам необходимо настроить Firebox для переадресации запросов на аутентификацию на этот сервер. Если вы создаете группу пользователей на Firebox, который аутентифицирует пользователей с помощью сервера аутентификации стороннего производителя, убедитесь, что на этом сервере вы создали точно такую же группу пользователей с таким же названием.

• Настройка аутентификации RADIUS сервера
• Настройка аутентификации через VASCOсервер
• Настройка SecurID аутентификации
• Настройка аутентификации Active Directory
• Настройка LDAP аутентификации

Настройка резервного сервера аутентификации

Вы можете настроить резервный сервер аутентификации c использованием всех способов аутентификации других производителей. Если устройство Firebox не может подключиться к основному серверу аутентификации (после трех попыток), то он помечается как неактивный и генерируется тревога. Затем Firebox подключается у резервному серверу. Если Firebox не может подключиться к резервному серверу аутентификации, он ждет десять минут, и затем пытается повторно подключиться к основному серверу. Этот цикл продолжается до тех пор, пока Firebox не подключится к серверу аутентификации.

Аутентификация брандмауэра

Для аутентификации пользователей вы можете создать учетные записи пользователей или группы пользователей. После того, как пользователь будет аутентифицирован на Firebox, его данные доступа и IP адрес компьютера используются для поиска политики, которая будет обрабатывать трафик, передаваемый этим пользователем.

Для того чтобы создать учетную запись пользователя Firebox вам необходимо выполнить следующее:

Создание нового пользователя для аутентификации Firebox.
Создание новой группы для аутентификации Firebox и добавление пользователя в эту группу.
Создайте политику, которая будет разрешать трафик только для пользователей или группы пользователей, созданных на Firebox. Эта политика применяется только тогда, когда трафик передается с или на IP адрес аутентифицированного пользователя.

Для того чтобы аутентифицировать пользователей через HTTP соединение через порт 4100 выполните следующее:

Зайдите на страницу: https://:4100/



В текстовых полях Usernameи Passwordвведите имя пользователя и пароль соответственно.
В выпадающем списке Domainвыберите домен. Это поле будет активно только в случае если вы можете выбирать из нескольких доменов.
Нажмите Login.
Если введенные данные верны, то пользователь будет аутентифицирован.
Mobile VPN with PPTP сессии
Вы можете настроить Firebox для работы с сессиями Mobile VPN with PPTP.
Если Firebox настроен для работы с Mobile VPN with PPTP соединениями, пользователи, которые добавляются в группу Mobile VPN with PPTP, могут создавать PPTP подключения при помощи компонента PPTP, который поддерживается их операционной системой.
Так как Firebox разрешает PPTP соединения для любого пользователя Firebox, который предоставит корректные данные доступа, очень важно создать политику для PPTP сессий, которая будет разрешать передавать PPTP трафик только определенным пользователям.
Вы также можете добавить этих пользователей в группу Firebox User и создать политику, которая разрешает трафик только для пользователей этой группы. Firebox создает группу PPTP-Users для этих целей.

Для того чтобы настроить Mobile VPN with PPTP выполните следующее:

В Policy Manager выберите VPN > Mobile VPN > PPTP.
Включитеопцию Activate Mobile VPN with PPTP.
Отключитеопцию Use Radius authentication to authenticate Mobile VPN with PPTP users. Это разрешит устройству Firebox аутентифицировать PPTP сессию. Firebox проверяет совпадает ли имя пользователя и пароль, которые пользователь ввел в окне VPN-подключения с именем пользователя и паролем в Базе Данных пользователей Firebox. Если данные, введенные пользователем совпадают с данными в Базе Данных, пользователь аутентифицируется для PPTP-сеанса.
Создайте политику, которая разрешает трафик только для пользователей группы Firebox или группы устройств Firebox.  Firebox использует эту политику только тогда, когда трафик идет с виртуального IP-адреса аутентифицированного пользователя.

Mobile VPN with IPSec сессии

При настройке вашего Firebox для работы с сессиями Mobile VPN with IPSec вы создаете политики на вашем устройстве, и затем используете клиент Mobile VPN with IPSec для того чтобы разрешить пользователям доступ к вашей сети. После настройки Firebox необходимо при помощи ПО клиента Mobile VPN with IPSec настроить каждый компьютер пользователей. После того, как компьютер пользователя будет настроен, пользователь сможет создавать Mobile VPN подключения. Если данные доступа пользователя совпадают с данными в базе данных пользователей Firebox User, и пользователь принадлежит группе Mobile VPN, то Mobile VPN сессия будет аутентифицирована.
Для того чтобы настроить аутентификацию для Mobile VPN with IPSec сессий вам необходимо выполнить следующее:
Настройка MobileVPNwithIPSec сессий.
Установка ПО клиента MobileVPNwithIPSec.

Mobile VPN with SSL сессии

Вы можете настроить Firebox для работы с Mobile VPN with SSL сессиями. Если Firebox настроен для работы с Mobile VPN with SSL сессиями, пользователи, которые принадлежат группе Mobile VPN with SSL, могут установить и использовать ПО клиента Mobile VPN with SSL для создания SSL подключений.
Так как Firebox разрешает SSL сессии от любого вашего пользователя, который предоставит корректные данные доступа, то очень важно создать политику для SSL VPN сессий, которая будет разрешать их только определенным пользователям. Вы также можете добавить этих пользователей в группу Firebox User Group и создать политику, которая будет разрешать передачу трафика только пользователям этой группы. Для этих целей Firebox сам создает группу SSLVPN-Users.

Для настройки Mobile VPN with SSL сессию выполните следующее:

В Policy Manager выберитеVPN > Mobile VPN > SSL.
Откроетсядиалогоеокно Mobile VPN with SSL Configuration.
Выполните все необходимые настройки MobileVPNwithSSL.

Создание нового пользователя для аутентификации Firebox

1.  В Policy Manager выберите SetupОткроется диалогое окно Authentication Servers
2. В закладке Firebox диалогового окна Authentication Servers под списком Users нажмите Add.
3. Откроется диалогое окно Setup Firebox User.
4. В текстовых полях Nameи Description (необязательно)  введите имя пользователя и его описание.
5. В текстовых полях Passphraseи Confirm введите пароль и его подтверждение.
6. Пароль, который вы создали, будет маскирован и больше не будет отображаться в открытом виде. Если вы забудете свой пароль, то вам необходимо создать новый.
7. В поле SessionTimeoutвыберите интервал времени, в течение которого пользователь может передавать трафик во внешнюю сеть. По умолчанию значение этого поля равно 1 секунда, минута, час или день. Максимальное значение 365 дней.
    
8. В поле IdleTimeoutвведите интервал времени, в течение которого пользователь будет оставаться аутентифицированным при отсутствии трафика (трафик не передается во внешнюю сеть). По умолчанию значение этого поля равно 1 секунде, минуте, часу или дню. Максимальное значение – 365 дней.
    
9. Для того, чтобы добавить пользователя в группу FireboxAuthenticationGroup выберите пользователя в списке Available.
   Нажмите  для того для того, чтобы переместить пользователя в список Member.Или два раза нажмите на имя пользователя в списке Available.
10. Пользователь будет добавлен в список пользователей.  Для того , чтобы закрыть диалоговое окно окно SetupFireboxUserнажмите OK.
    Откроется закладка Firebox Users со списком новых пользователей.

Создание новой группы для аутентификацииFirebox

1. В Policy Manager выберите SetupОткроется диалогое окно Authentication Servers.
2. Выберите закладку Firebox.
3. Под списком User Groups нажмите Add.
4. Откроется диалогое окно Setup Firebox Group
5. Введите имя группы.
6. (Дополнительно) Введите описание группы.
7. Для того, для того, чтобы добавить пользователя в группу, выберите пользователя в списке Available. Нажмите  для того для того, чтобы переместить выбранного пользователя в списке Member.
8. Вы также можете два раза нажать на имя пользователя в списке Available.
9. После того, как вы добавите всех пользователей в группу, нажмите OK.
10. Теперь вы можете настроить политики и аутентификацию для этих пользователей или групп пользователей.

Настройка аутентификацииRADIUS сервера

RADIUS (Remote Authentication Dial-In User Service) используется для аутентификации локальных и удаленных пользователей в сети. RADIUS – это клиент/серверная система, которая хранит аутентификационную информацию для пользователей, серверов удаленного доступа, VPN шлюзов и других ресурсов в одной центральной базе данных.

Ключ аутентификации

В сообщениях аутентификации, которые отправляются с и на RADIUS сервер, содержится специальный ключ аутентификации. Этот ключ должен быть одинаковым на RADIUS клиенте и сервере. Без этого ключа клиент и сервер не смогут обмениваться сообщениями.

Способы RADIUS аутентификации

Для web и Mobile VPN with IPSec или SSL аутентификации, RADIUS поддерживает только PAP (Password Authentication Protocol) аутентификацию. Для PPTP аутентификация RADIUS поддерживает только MSCHAPv2 (Microsoft Challenge-Handshake Authentication Protocol version 2).

Перед тем как начать

Перед тем как настроить Firebox для работы с RADIUS сервером, вам необходима следующая информация:
Основной RADIUS сервер — IP адрес и порт RADIUS сервера
Вторичный RADIUS сервер (дополнительно) — IP адрес и порт RADIUS сервера
Общий ключ — пароль (чувствительный к регистру), который должен быть одинаковым на Firebox и RADIUS сервере
Методы аутентификации — настройте ваш RADIUS сервер для того для того, чтобы он разрешал используемый вашим Firebox метод аутентификации: PAP или MS CHAP v2

RADIUS аутентификация с вашим Firebox

1. Для того чтобы использовать RADIUS аутентификацию с вашим Firebox вам необходимо следующее:
2. Добавить IP адрес устройства Firebox на RADIUS сервер.
3. Включить и настроить RADIUS сервер в вашей конфигурации Firebox.
4. Добавить имена пользователей или группы пользователей RADIUS к вашим политикам.
5. Для того включить и настроить RADIUS сервер(ы) в вашей конфигурации выполните следующее:
6. В Policy Manager нажмите  . Или выберите SetupОткроетсядиалогоеокно Authentication Servers.
7. Выберите закладку RADIUSServer
8. Для того чтобы включить RADIUS сервер и активировать поля в этом диалоговом окне включите опцию EnableRADIUSserver.
9. В поле IPAddressвведите IP адрес RADIUS сервера.
10. В поле Portвведите номер порта, который используется RADIUS для аутентификации. По умолчанию используется порт 1812. Более ранние версии RADIUS серверов могут использовать порт 1645.
11. В поле Secretвведите пароль для Firebox и RADIUS сервера. Этот пароль чувствителен к регистру и должен быть одинаковым на Firebox и RADIUS сервере.
12. В поле ConfirmSecretснова введите пароль.
13. В поле Timeoutпри помощи стрелок установите величину таймаута. Величина таймаута определяет промежуток времени в течение которого Firebox ждет ответа на запрос аутентификации, после чего повторяет запрос снова.
14. В поле Retriesпри помощи стрелок установите количество попыток подключения Firebox к серверу аутентификации. Это количество попыток подключения устройства Firebox к серверу аутентификации, после чего процедура аутентификации считается неуспешной.
15. В поле GroupAttributeпри помощи стрелок установите атрибут группы. По умолчанию атрибут равен FilterID, что соответствует RADIUS атрибуту номер 11. Атрибут группы используется для настройки атрибута, который будет содержать информацию о User Group. Вам необходимо настроить RADIUS сервер, чтобы он добавлял строку Filter ID в сообщение аутентификации, которое он отправляет Firebox. Например, engineerGroupили financeGroup. Эта информация затем используется для управления доступом. Firebox сравнивает строку FilterID с именами групп пользователей, настроенных в политиках Firebox.
16. В поле DeadTimeвыберите величину временного интервала, по истечении которого до этого неактивный сервер становится активным. В выпадающем списке выберите единицу измерения: минуты (minutes) или часы (hours). Если сервер аутентификации не отвечает в течение какого-либо промежутка времени, то устройство Firebox считает его неактивным. Последующие запросы на аутентификацию не будут отправляться на этот сервер до того момента, пока устройство Firebox не сделает его снова активным.
17. Для того чтобы добавить резервный RADIUS сервер выберите закладку SecondaryServerSettingsи включите опцию Enable a secondary RADIUS server.
18. Для настройки всех необходимых параметров см. Ключ аутентификации (shared secret) должен быть одинаковым на основном и резервном RADIUS серверах
19. Нажмите OK.
20. Сохраните конфигурационный файл.

Купить WatchGuard:   Firebox X Core e-Series - Надёжное UTM-решение для растущего бизнеса. Firebox X Edge e-Series- Решение для информационной безопасности малых сетей и удаленных офисов.  Firebox X Peak e-Series - Используется в сложных, разветвленных сетях.