Rubriques Connexes
Utiliser les Utilisateurs et Groupes Autorisés dans les Stratégies
Lorsque vous créez des stratégies dans le fichier de configuration de Firebox, vous pouvez utiliser des noms d'utilisateur et de groupe spécifiques. Par exemple, vous pouvez définir des stratégies n'autorisant des connexions que pour des utilisateurs authentifiés, ou limiter des connexions à une stratégie à des utilisateurs particuliers.
Le terme utilisateurs et groupes autorisés fait référence aux utilisateurs et aux groupes qui sont autorisés à accéder aux ressources réseau. Un utilisateur authentifié peut envoyer du trafic via le Firebox uniquement si ce trafic est autorisé par une stratégie sur le Firebox.
Définir des utilisateurs et des groupes pour l'authentification Firebox
Si vous voulez utiliser votre Firebox comme serveur d'authentification, vous pouvez spécifier les utilisateurs et les groupes qui peuvent s'authentifier sur le Firebox. Pour des instructions sur la manière de définir ces utilisateurs et ces groupes, consultez Définir un nouvel utilisateur pour l'authentification Firebox et Définir un nouveau groupe pour l'authentification Firebox.
Définir des Utilisateurs et des Groupes pour l'Authentification tierce
Dans le fichier de configuration de votre Firebox, vous pouvez définir les utilisateurs et les groupes à utiliser pour l'authentification tierce. Lorsque vous créez un groupe, si vous utilisez plusieurs domaines Active Directory pour l'authentification, vous devez préciser celui que les utilisateurs du groupe devront utiliser pour s'authentifier.
Pour les utilisateurs individuels comme pour les groupes d'utilisateurs, vous pouvez également activer des limites de connexion. Lorsque vous activez des connexions simultanées illimitées pour un utilisateur ou un groupe, vous autorisez plusieurs utilisateurs ou membres d'un groupe à s'authentifier simultanément avec les mêmes informations d'identification utilisateur, auprès d'un serveur d'authentification. Cette option est utile pour les comptes invités ou les environnements de laboratoire. Lorsque le deuxième utilisateur se connecte à l'aide des mêmes informations d'identification, le premier utilisateur authentifié est automatiquement déconnecté. L'autre option que vous pouvez sélectionner pour les limites de connexion des utilisateurs et des groupes consiste à limiter vos utilisateurs ou les membres d'un groupe à une session unique authentifiée. Si vous sélectionnez cette option, les utilisateurs ne pourront pas se connecter à un serveur d'authentification à partir d'adresses IP différentes en utilisant les mêmes informations d'identification. Lorsqu'un utilisateur authentifié essaie de s'authentifier à nouveau, vous pouvez opter soit pour la fermeture de la session du premier utilisateur lorsque la seconde session est authentifiée, soit pour le rejet de la seconde session.
Les noms d'utilisateur et de groupes sur votre Active Directory Server respectent la casse. Lorsque vous ajoutez un utilisateur ou un groupe autorisé à votre Firebox, le nom de l'utilisateur ou du groupe doit respecter la même casse que celle utilisée sur le serveur Active Directory Server.
Si vous utilisez l'authentification Active Directory et que l'appartenance d'un utilisateur à un groupe ne correspond pas à votre stratégie Mobile VPN, un message d'erreur signalant que le trafic déchiffré ne correspond à aucune stratégie s'affiche. Si ce message s'affiche, vérifiez que l'utilisateur fait partie d'un groupe dont le nom est identique à celui de votre groupe Mobile VPN.
Si un utilisateur est déjà connecté lorsque vous ajoutez un nouveau groupe à la configuration du Firebox, l'utilisateur n'est pas associé par le Firebox à ce groupe jusqu'à sa prochaine connexion.
- Créez un groupe sur votre serveur d'authentification tierce qui contienne tous les comptes d'utilisateurs de votre système.
- Sélectionnez Authentification > Utilisateurs et Groupes.
La page Utilisateurs et groupes d'authentification s'affiche.
- Cliquez sur Ajouter.
La boîte de dialogue Ajouter un Utilisateur ou un Groupe s'affiche.
- Pour l'option Type, sélectionnez Groupe ou Utilisateur.
- Entrez un nom d'utilisateur ou de groupe que vous avez créé sur le serveur d'authentification.
Le nom d'utilisateur ou du groupe est sensible à la casse et doit correspondre à la capitalisation utilisée sur le serveur d'authentification. - (Facultatif) Entrez une description de l'utilisateur ou du groupe.
- Dans la liste déroulante Serveur d'authentification, sélectionnez votre serveur d'authentification.
- Pour activer les limites de connexion, cochez la case Activer les limites de connexion pour chaque utilisateur ou groupe et suivez les instructions dans les sections suivantes pour sélectionner une option :
- Cliquez sur Ajouter.
- Créez un groupe sur votre serveur d'authentification tierce qui contienne tous les comptes d'utilisateurs de votre système.
- Sélectionnez Configuration > Authentification > Utilisateurs et Groupes.
La boîte de dialogue Utilisateurs et Groupes s'affiche.
- Cliquez sur Ajouter.
La boîte de dialogue Définir un nouvel utilisateur ou un nouveau groupe autorisé s'affiche.
- Pour l'option Type, sélectionnez Groupe ou Utilisateur.
- Entrez un nom d'utilisateur ou de groupe que vous avez créé sur le serveur d'authentification.
Le nom d'utilisateur ou du groupe est sensible à la casse et doit correspondre à la capitalisation utilisée sur le serveur d'authentification. - (Facultatif) Entrez une description de l'utilisateur ou du groupe.
- Dans la liste déroulante Serveur d'authentification, sélectionnez votre serveur d'authentification.
Sélectionnez RADIUS pour une authentification via un VACMAN Middleware Server ou RADIUS, ou Tout pour une authentification via tout autre type de serveur. Pour l'authentification Active Directory, sélectionnez le domaine précis que l'utilisateur ou le groupe devra utiliser.
- Pour activer les limites de connexion, cochez la case Activer les limites de connexion pour chaque utilisateur ou groupe et suivez les instructions dans les sections suivantes pour sélectionner une option :
- Cliquez sur OK.
Sélectionnez RADIUS pour une authentification via un VACMAN Middleware Server ou RADIUS, ou Tout pour une authentification via tout autre type de serveur. Pour l'authentification Active Directory, sélectionnez le domaine précis que l'utilisateur ou le groupe devra utiliser.
- Pour activer les limites de connexion, cochez la case Activer les limites de connexion pour chaque utilisateur ou groupe et suivez les instructions dans les sections suivantes pour sélectionner une option :
- Cliquez sur OK.
Autoriser un Nombre Illimité de Sessions de Connexion Simultanées
Vous pouvez autoriser plusieurs utilisateurs à s'authentifier en même temps et avec les mêmes informations d'identification sur le même serveur d'authentification. Cette option est utile pour les comptes invités ou les environnements de laboratoire. Lorsque le deuxième utilisateur se connecte à l'aide des mêmes informations d'identification, le premier utilisateur authentifié est automatiquement déconnecté. Si vous n'autorisez pas cette fonctionnalité, les utilisateurs ne peuvent s'authentifier qu'un par un sur le serveur d'authentification.
Pour ajouter un nombre illimité de sessions de connexion simultanées pour vos utilisateurs :
- Cochez la case Activer les limites de connexion pour chaque utilisateur ou groupe.
- Sélectionnez Autoriser des connexions d'authentification simultanées illimitées via pare-feu à partir du même compte.
Limiter les Sessions de Connexion
Vous pouvez limiter vos utilisateurs à un nombre spécifique de sessions authentifiées. Si vous sélectionnez cette option, vous pouvez spécifier le nombre de fois que vos utilisateurs peuvent utiliser les mêmes informations d'identification pour se connecter à un serveur d'authentification à partir de différentes adresses IP. Lorsqu'un utilisateur authentifié essaie de s'authentifier à nouveau, vous pouvez opter soit pour la fermeture de la session du premier utilisateur lorsque la seconde session est authentifiée, soit pour le rejet de la seconde session.
Pour limiter les sessions de connexion pour vos utilisateurs :
- Cochez la case Activer les limites de connexion pour chaque utilisateur ou groupe.
- Sélectionnez Limiter les sessions utilisateurs simultanées à.
- Dans la zone de texte, tapez ou sélectionnez le nombre de sessions utilisateurs simultanées autorisées.
- Dans la liste déroulante, sélectionnez une option :
- Rejeter les tentatives de connexion suivantes
- Autoriser les tentatives de connexion suivantes et déconnecter la première session.
Ajouter des utilisateurs et des groupes aux définitions des stratégies
Tout utilisateur ou groupe que vous voulez utiliser dans vos définitions de stratégie doit être ajouté en tant qu'utilisateur autorisé. Tous les utilisateurs et groupes que vous créez pour l'authentification Firebox, et tous les utilisateurs Mobile VPN sont automatiquement ajoutés à la liste des utilisateurs et groupes autorisés dans la boîte de dialogue Utilisateurs et groupes autorisés. Vous pouvez ajouter n'importe quel utilisateur ou groupe provenant de serveurs d'authentification tierce à la liste des utilisateurs et des groupes autorisés à l'aide de la procédure ci-dessus. Vous êtes alors prêt à ajouter des utilisateurs et des groupes à la configuration de votre stratégie.
- Sélectionnez Pare-feu > Stratégies de Pare-feu.
La page Stratégies de pare-feu s'affiche. - Sélectionnez une stratégie dans la liste et cliquez sur Action > Modifier la stratégie.
Ou double-cliquez sur une stratégie.
La page Configuration de Stratégie s'affiche. - Sous la liste De, cliquez sur Ajouter.
La boîte de dialogue Ajouter un membre s'affiche. - Dans la liste déroulante Type de membre, sélectionnez Utilisateur de pare-feu.
La liste des utilisateurs disponibles s'affiche.
Si votre utilisateur ou groupe ne figure pas dans la liste Groupes, consultez Définir un nouvel utilisateur pour l'authentification Firebox, Définir un nouveau groupe pour l'authentification Firebox, ou la dernière procédure Définir des utilisateurs et des groupes pour l'authentification tierce et ajoutez l'utilisateur ou le groupe.
- Sélectionnez un utilisateur et cliquez sur OK.
- Sélectionnez l'onglet Pare-feu.
- Double-cliquez sur une stratégie.
La boîte de dialogue Modifier les propriétés de la stratégie s'affiche. - Sur l'onglet Stratégie, en dessous de la liste De, cliquez sur Ajouter.
La boîte de dialogue Ajouter une adresse s'affiche. - Cliquez sur Ajouter un utilisateur .
La boîte de dialogue Ajouter des utilisateurs ou des groupes autorisés s'affiche.
- Dans la liste déroulante Type à gauche, indiquez si l'utilisateur ou le groupe est autorisé avec une authentification pare-feu, SSLVPN ou L2TP.
Pour plus d'informations sur ces types d'authentification, consultez Types d'authentification Firebox. - Dans la liste déroulante Type à droite, sélectionnez Utilisateur ou Groupe.
- Si votre utilisateur ou groupe s'affiche dans la liste Groupes, sélectionnez-le et cliquez sur Sélectionner.
La boîte de dialogue Ajouter une adresse s'affiche de nouveau avec l'utilisateur ou le groupe dans la zone Membres ou adresses sélectionnées.
Si votre utilisateur ou groupe ne figure pas dans la liste Groupes, consultez Définir un nouvel utilisateur pour l'authentification Firebox, Définir un nouveau groupe pour l'authentification Firebox, ou la dernière procédure Définir des utilisateurs et des groupes pour l'authentification tierce et ajoutez l'utilisateur ou le groupe.
- Cliquez sur OK pour fermer la boîte de dialogue Modifier les propriétés de la stratégie.
Après avoir ajouté un utilisateur ou un groupe à une configuration de stratégie, la stratégie d'authentification WatchGuard est automatiquement ajoutée au fichier de configuration de votre Firebox. Cette stratégie contrôle l'accès à la page Web du portail d'authentification. Pour obtenir les instructions sur la modification de cette stratégie, consultez Utiliser l'Authentification pour Restreindre les Connexions Entrantes.
Pour un exemple de la manière dont vous pouvez configurer les stratégies Firebox pour différents utilisateurs ou groupes, consultez Configurer les stratégies WebBlocker pour les groupes avec l'authentification Active Directory.