Configurer l'Agent SSO

Si vous utilisez plusieurs domaines Active Directory, vous devez préciser les domaines à utiliser pour SSO (Single Sign-On). Sitôt SSO Agent installé, vous pouvez indiquer les domaines à utiliser pour l'authentification et synchroniser la configuration du domaine avec SSO Agent. Vous pouvez par ailleurs préciser les options pour utiliser SSO sans SSO Client. C'est ce qui s'appelle clientless SSO. Vous configurez les paramètres pour Clientless SSO au moment de configurer SSO Agent. Pour configurer les paramètres de SSO Agent, vous devez bénéficier des droits d'administrateur sur l'ordinateur où SSO Agent est installé.

Lorsque vous lancez SSO Agent pour la première fois, il crée les fichiers de configuration Users.xml et AdInfos.xm. Ces fichiers de configuration chiffrés stockent les informations détaillées sur la configuration des domaines que vous précisez au moment de configurer SSO Agent.

SSO Agent possède deux comptes par défaut, administrator et status, que vous pouvez utiliser pour vous connecter à SSO Agent. Pour modifier la configuration de SSO Agent, vous devez vous connecter avec les informations d'identification de l'administrateur. Après votre première connexion, il est recommandé de modifier les mots de passe des comptes par défaut.

Les informations d'identification par défaut (nom d'utilisateur/mot de passe) pour ces comptes sont :

• Administrator — admin/readwrite
• Status — status/readonly

Pour plus d'informations sur Active Directory, consultez Configurer l'Authentification Active Directory.

Se connecter à l'outil de configuration de SSO Agent

1. Sélectionnez Démarrer > WatchGuard > Authentication Gateway > Outil de configuration de WatchGuard SSO Agent.
   La boîte de dialogue de connexion aux outils de configuration SSO Agent apparaît.
2. Dans la zone de texte Nom d'utilisateur, entrez le nom d'utilisateur de l'administrateur admin .
3. Dans la zone de texte Mot de passe, entrez le mot de passe de l'administrateur readwrite.
   La boîte de dialogue Outils de configuration SSO Agent apparaît.

4. Configurez SSO Agent selon la procédure indiquée dans les sections suivantes.
   Les modifications que vous apportez à la configuration sont enregistrées automatiquement.

Gérer les comptes d'utilisateur et les mots de passe

Après vous être connecté une première fois, vous pouvez changer le mot de passe des comptes par défaut. Étant donné que vous devez vous connecter avec des informations d'identification d'administrateur pour modifier les paramètres de SSO Agent, assurez-vous de vous rappeler du mot de passe choisi pour le compte d'administrateur. Vous pouvez également ajouter de nouveaux comptes d'utilisateur et modifier les paramètres des comptes d'utilisateur existants. Vous pouvez aussi utiliser les deux comptes admin et status pour ouvrir une session Telnet afin de configurer SSO Agent.

Pour plus d'informations sur l'utilisation de telnet avec SSO Agent, consultez Utiliser Telnet pour déboguer l'Agent SSO.

Changer le mot de passe d'un compte d'utilisateur

Pour les comptes admin et status , il est uniquement possible de modifier le mot de passe du compte ; vous ne pouvez pas changer le nom d'utilisateur.

Dans la boîte de dialogue Outils de configuration SSO Agent  :

1. Sélectionnez Modifier > Gestion des utilisateurs.
   La boîte de dialogue Formulaire de gestion des utilisateurs s'ouvre.

2. Sélectionnez le compte à modifier.
   Par exemple, sélectionnez admin .
3. Cliquez sur Changer le mot de passe .
   La boîte de dialogue Changer le mot de passe s'affiche.
4. Dans les zones de texte Mot de passe et Confirmer le mot de passe , entrez le nouveau mot de passe de ce compte d'utilisateur.
5. Cliquez sur OK.

Ajouter un compte d'utilisateur

Dans la boîte de dialogue Outils de configuration SSO Agent  :

1. Sélectionnez Modifier > Gestion des utilisateurs.
   Le Formulaire de gestion des utilisateurs s'ouvre.
2. Cliquez sur Ajouter un utilisateur .
   La boîte de dialogue Ajouter un utilisateur s'affiche.
3. Dans la zone de texte Nom d'utilisateur , entrez le nom de ce compte d'utilisateur.
4. Dans les zones de texte Mot de passe et Confirmer le mot de passe , entrez le mot de passe de ce compte d'utilisateur.
5. Sélectionnez l'option d'accès de ce compte :
   • Lecture seule
   • Lecture/écriture
6. Cliquez sur OK.

Modifier un compte d'utilisateur

Lorsque vous modifiez un compte d'utilisateur, seule l'option d'accès peut être modifiée. Vous ne pouvez pas changer le nom d'utilisateur ou le mot de passe de ce compte. Pour changer le nom d'utilisateur, vous devez ajouter un nouveau compte d'utilisateur et supprimer l'ancien.

Dans la boîte de dialogue Outils de configuration SSO Agent  :

1. Sélectionnez Modifier > Gestion des utilisateurs.
   Le Formulaire de gestion des utilisateurs s'ouvre.
2. Sélectionnez le compte à modifier.
3. Cliquez sur Modifier l'utilisateur.
   La boîte de dialogue Modifier l'utilisateur s'affiche.
4. Sélectionnez la nouvelle option d'accès de ce compte :
   • Lecture seule
   • Lecture/écriture
5. Cliquez sur OK.

Supprimer un compte d'utilisateur

Dans la boîte de dialogue Outils de configuration SSO Agent  :

1. Sélectionnez Modifier > Gestion des utilisateurs.
   Le Formulaire de gestion des utilisateurs s'ouvre.
2. Sélectionnez le compte à supprimer.
3. Cliquez sur Supprimer l'utilisateur.
   La boîte de dialogue Supprimer l'utilisateur s'affiche.
4. Vérifiez que le Nom d'utilisateur correspond au compte que vous voulez supprimer.
5. Cliquez sur OK.

Configurer les Domaines pour le SSO Agent

Pour configurer SSO Agent, vous pouvez ajouter, modifier ou supprimer des informations concernant vos domaines Active Directory. Lorsque vous ajoutez ou modifiez un domaine, il faut indiquer un compte d'utilisateur à utiliser pour effectuer les recherches sur l'Active Directory Server. Nous vous recommandons de créer un compte d'utilisateur à cette fin sur le serveur, possédant les droits d'effectuer des recherches dans l'annuaire, et dont le mot de passe n'expire jamais.

Ajouter un domaine

Dans la boîte de dialogue Outils de configuration SSO Agent  :

1. Sélectionnez Modifier > Ajouter un domaine.
   La boîte de dialogue Ajouter un domaine s'affiche.
2. Dans la zone de texte Nom de domaine, saisissez le nom du domaine.
   Vous pouvez taper, par exemple, mon-exemple.com.
   Le nom du domaine du serveur de votre Active Directory Server doit respecter la casse. Veillez à saisir exactement le nom de domaine tel qu'il apparait sous l'onglet Active Directory dans les paramètres du serveur d'authentification de votre Firebox Pour plus d'informations, consultez Configurer l'Authentification Active Directory.
3. Dans la zone de texte Nom de domaine NetBIOS, tapez le nom de domaine NetBIOS de votre domaine.

Pour trouver le nom de domaine NetBIOS :

1. Sur le serveur Active Directory pour le domaine, sélectionnez Démarrer > Outils d'administration > Certifications et domaine Active Directory.
2. Dans la liste des domaines, cliquez avec le bouton droit sur votre domaine et sélectionnez Propriétés.
3. Trouvez la valeur Nom de domaine (pré-Windows 2000). Il s'agit du nom de domaine NetBIOS de votre domaine.

4. Dans la zone de texte Adresse IP du contrôleur de domaine, tapez l'adresse IP du serveur Active Directory de ce domaine.
   Pour spécifier plus d'une adresse IP pour le contrôleur de domaine, séparez les adresses IP par un point virgule, sans espaces.
5. Dans la zone de texte Port, entrez le port à utiliser pour se connecter au serveur.
   Le paramètre par défaut est 389.
6. Dans la section Utilisateur qui effectue la recherche, choisissez une option :
   • Nom unique (DN) (cn=ssouser,cn=utilisateurs,dc=domaine,dc=com)
   • Nom d'utilisateur principal (UPN) ([email protected])
   • Antérieur à Windows 2000 (netbiosDomain\ssouser)
7. Dans la zone de texte, tapez les informations de l'utilisateur pour l'option que vous avez sélectionnée.
   Assurez-vous d'indiquer un utilisateur ayant le droit d'effectuer des recherches sur l'annuaire de votre Active Directory Server.
8. Dans les zones de texte Mot de passe de l'utilisateur qui effectue la recherche et Confirmer le mot de passe, saisissez le mot de passe de l'utilisateur choisi.
   Ce mot de passe doit être identique à celui du compte d'utilisateur sur l'Active Directory Server.
9. Pour ajouter un autre domaine, cliquez sur OK & Ajouter un autre. Répétez les étapes 2 à 8.
10. Cliquez sur OK.
    Le nom de domaine apparaît dans la liste des Outils de configuration de SSO Agent.

Modifier un domaine

Lorsque vous modifiez un domaine SSO, vous pouvez changer tous les paramètres, sauf le nom de domaine. Pour changer un nom de domaine, vous devez supprimer le domaine et en ajouter un autre ayant le nom souhaité.

Dans la boîte de dialogue Outils de configuration SSO Agent  :

1. Sélectionnez le domaine à modifier.
2. Sélectionnez Modifier > Modifier un domaine.
   La boîte de dialogue Modifier un domaine s'affiche.
3. Mettez à jour les paramètres du domaine.
4. Cliquez sur OK.

Supprimer un domaine

Dans la boîte de dialogue Outils de configuration SSO Agent  :

1. Sélectionnez le domaine à supprimer.
2. Sélectionnez Modifier > Supprimer un domaine.
   Un message de configuration apparaît.
3. Cliquez sur Oui.

Configurer Clientless SSO

Si SSO Client n'est pas installé ou disponible, vous pouvez configurer SSO Agent de sorte à avoir recours à Clientless SSO pour obtenir les informations de connexion des utilisateurs des modules Event Log Monitor ou Exchange Monitor installés sur votre réseau. Les Event Log Monitors sont également installés sur un ou plusieurs serveurs membres de domaine dans chaque domaine. Exchange Monitor est installé sur le même ordinateur sur lequel votre serveur Microsoft Exchange est installé.

Si vous utilisez Event Log Monitor, quand un utilisateur tente de s'authentifier, SSO Agent envoie à EventLog Monitor le nom d'utilisateur et l'adresse IP de l'ordinateur client. Event Log Monitor utilise alors ces informations pour interroger l'ordinateur client sur le port TCP 445 et récupérer les informations d'identification de l'utilisateur à partir des événements de sécurité Windows de l'ordinateur client. Avec les informations d'identification obtenues, Event Log Monitor contacte le contrôleur de domaine afin de se renseigner sur les informations du groupe de sécurité pour l'utilisateur. Si vous avez installé plusieurs Event Log Monitor et que le premier Event Log Monitor interrogé par le SSO Agent SSO ne disposent pas des bons identifiants d'utilisateur, le SSO Agent interroge le Event Log Monitor suivant dans la liste Domaines de contact. Le SSO agent continue à contacter chaque Event Log Monitor de la liste jusqu'à ce qu'il trouve les bonnes informations d'identification d'utilisateur. Il fournit ensuite ces informations à SSO Agent.

Si vous n'installez pas SSO Client sur les ordinateurs de vos utilisateurs, vérifiez que Event Log Monitor apparaît en premier dans la liste Contacts SSO Agent. Si vous mettez SSO Client en principal contact et que SSO Client est indisponible, SSO Agent interroge ensuite Event Log Monitor, causant toutefois un éventuel retard.

Pour les utilisateurs de périphériques sous Mac OS X 10.6 et versions supérieures, plate-formes iOS ou Android, vous pouvez utiliser Exchange Monitor pour obtenir les informations de connexion de ces utilisateurs. Exchange Monitor est installé sur le même ordinateur que Microsoft Exchange Server. Par conséquent, Exchange Monitor suit les actions de connexion/déconnexion des comptes de domaine pour chaque utilisateur et informe le SSO Agent de ces événements en temps réel.

Après avoir installé SSO Agent, vous devez ajouter les informations des domaines sur lesquels les modules Event Log Monitor sont installés à la configuration de SSO Agent dans la liste Domaines de contact. Si vous disposez d'un seul et unique domaine et que SSO Agent est installé sur le contrôleur de domaine, ou si vous disposez de plusieurs domaines et que Event Log Monitor figure sur le même domaine que SSO Agent, il n'est pas utile de préciser les informations de domaine du contrôleur de domaine dans la liste Domaines de contact. Si plusieurs événement Event Log Monitor ou Exchange Monitor font partie de la liste Domaines de contact, le SSO Agent interroge la première entrée dans la liste pour tenter d'obtenir les informations d'identification d'utilisateur et les informations du groupe. Si le premier Event Log Monitor ou Exchange Monitor n'est pas disponible, le SSO Agent contacte le moniteur suivant dans la liste. Ce processus se poursuit jusqu'à ce que l'agent SSO trouve un moniteur disponible.

Pour plus d'informations sur l'installation de Event Log Monitor et Exchange Monitor, consultez Installer l'Agent WatchGuard Single Sign-On (SSO) et Event Log Monitor.

Pour plus d'informations sur l'équilibrage de charge et le basculement pour Event Log Monitor, consultez la section Event Log Monitor dans À propos de Single Sign-On (SSO) avec Active Directory.

Avant de configurer et d'activer les paramètres de Clientless SSO, vous devez vous assurer que le port TCP 445 est ouvert sur les ordinateurs clients de votre domaine, ou que l'option Partage de fichiers et d'imprimantes est cochée et que la stratégie de groupe pour activer Event Log Monitor et obtenir les informations sur les informations de connexion des utilisateurs est correcte. Si ce port n'est pas ouvert et que la stratégie configurée n'est pas la bonne, Event Log Monitor ne peut pas obtenir les informations de connexion du groupe et SSO ne fonctionne pas correctement.

Sur l'ordinateur où figure votre contrôleur de domaine :

1. Ouvrez l'Éditeur d'objets de stratégie de groupe et modifiez la Stratégie de domaine par défaut.
2. Assurez-vous que dans Stratégie d'audit (Configuration ordinateur > Paramètres Windows > Paramètres de sécurité > Stratégies locales > Stratégie d'audit), les stratégies Auditer les événements de connexion aux comptes et Auditer les événements de connexion sont activées.
3. Sur la ligne de commande, exécutez la commande gpupdate/force/boot.
   Cette chaîne de message s'affiche lorsque la commande est exécutée :
   Mise à jour de la stratégie.. Mise à jour de la stratégie de l'utilisateur terminée. Mise à jour de la stratégie de l'ordinateur terminée.

Vous pouvez ajouter, modifier et supprimer des informations de domaine pour Clientless SSO. Vous pouvez spécifier plusieurs adresses IP pour le contrôleur de domaine de chaque nom de domaine que vous ajoutez. Si Event Log Monitor ne parvient pas à contacter le contrôleur de domaine à la première adresse IP, il tente de contacter l'adresse IP du contrôleur de domaine suivant dans la liste.

Dans la boîte de dialogue Outils de configuration SSO Agent  :

1. Sélectionnez Modifier > Paramètres des contacts de SSO Agent.
   La boîte de dialogue Paramètres des contacts de SSO Agent s'affiche.

2. Dans la liste Contacts SSO Agent, cochez la case de chaque contact pour SSO Agent :
   • SSO Client
   • Event Log Monitor
   • Exchange Monitor
3. Pour modifier l'ordre des Contacts SSO Agent, sélectionnez un contact et cliquez sur Haut ou Bas.
   Vous ne pouvez pas modifier la position de Exchange Monitor.
4. Ajoutez, modifiez ou supprimez un domaine de contact tel que décrit dans les sections suivantes.
5. Cliquez sur OK pour enregistrer vos paramètres.

Ajouter un Domaine de Contact

Vous pouvez préciser plusieurs domaines pour que Event Log Monitor ou Exchange Monitor entre en contact et obtienne les informations de connexion des utilisateurs.

Lorsque vous ajoutez un domaine pour Exchange Monitor, vous devez spécifier les adresses IP et l'intervalle de vérification de session pour le serveur Microsoft Exchange. L'intervalle de vérification de session indique le temps observé avant qu'Exchange Monitor ne déconnecte un utilisateur qui ne figure pas comme actif dans les messages du journal IIS de votre serveur Exchange. Le paramètre par défaut est 40 minutes. Vous devez spécifier un intervalle d'au moins 5 minutes.

Modifier un domaine de contact

À partir de la boîte de dialogue Paramètres de Contact de SSO Agent :

1. Dans la liste Domaines de contact, sélectionnez le domaine à modifier.
2. Cliquez sur Modifier.
   La boîte de dialogue Paramètres Event Log Monitor apparaît.
3. Mettez à jour les paramètres du domaine.
4. Cliquez sur OK.

Supprimer un domaine

À partir de la boîte de dialogue Paramètres de Contact de SSO Agent :

1. Dans la liste Domaines de contact, sélectionnez le domaine à supprimer.
2. Cliquez sur Supprimer.
   Le domaine est supprimé de la liste.

Tester la Connexion au Port SSO

Vous pouvez utiliser l'outil Testeur de port SSO pour vérifier que l'agent SSO peut contacter Event Log Monitor et Exchange Monitor. L'outil Testeur de port SSO vous permet de vérifier si l'agent SSO peut contacter un serveur à une adresse IP unique, des serveurs à plusieurs adresses IP ou une plage d'adresses IP. Vous importez un fichier texte comportant des adresses IP à tester si vous préférez vérifier la connexion d'une adresse IP unique ou de plusieurs adresses IP plutôt que d'une plage d'adresses. Vous pouvez également spécifier les ports à tester et l'intervalle de délai d'attente de connexion.

À partir de la boîte de dialogue Paramètres de Contact de SSO Agent :

1. Cliquez sur Tester le port SSO.
   La boîte de dialogue Tester le port SSO s'affiche.

2. Dans la section Spécifier des adresses IP, sélectionnez une option  :
   • Plage d'adresses IP d'hôte
   • Adresse IP du réseau
   • Importer des adresses IP
3. Si vous avez sélectionné Plage d'adresses IP d'hôte, entrez la plage d'adresses IP à tester dans la zone de texte Plage d'adresses IP d'hôte.
   Si vous avez sélectionné Adresse IP du réseau, entrez l'adresse IP du réseau à tester dans la zone de texte Adresse IP du réseau.
   Si vous avez sélectionné Importation des adresses IP, cliquez sur et naviguez pour sélectionner le fichier texte contenant la liste d'adresses IP à tester.
4. Dans la zone de texte Ports, entrez les numéros de port à tester.
   Pour tester plusieurs ports, entrez les numéros de port séparés par une virgule, sans espace.
5. Cliquez sur Tester.
   Les résultats du test de port apparaissent dans la fenêtre Tester le port SSO.
6. Pour enregistrer les résultats des tests dans un fichier journal, cliquez sur Sauvegarder le journal, puis indiquez le nom de fichier et un emplacement dans lequel enregistrer le fichier journal.
7. Pour arrêter le processus de l'outil de test de port, cliquez sur Quitter.

Voir aussi

À propos de Single Sign-On (SSO) avec Active Directory

Installer le client WatchGuard Single Sign-On (SSO)

Installer l'Agent WatchGuard Single Sign-On (SSO) et Event Log Monitor

Activer le Single Sign-On (SSO) d'Active Directory

Télécharger des Fichiers Journaux SSO

Envoyer Vos Commentaires  •   Obtenir de l'Aide  •   Documentation Complète des Produits  •   Recherche Technique

© 2018 WatchGuard Technologies, Inc. Tous droits réservés. WatchGuard, le logo de WatchGuard, WatchGuard Dimension, Firebox, Core, Fireware et LiveSecurity sont des marques déposées ou des marques de commerce de WatchGuard Technologies aux Etats-Unis et/ou dans d'autres pays.