Rubriques Connexes
Démarrage Rapide — Configurer Single Sign-On (SSO) avec Active Directory
Lorsque vous utilisez la solution Single Sign-On (SSO) d'Active Directory de WatchGuard, les utilisateurs des réseaux facultatifs ou approuvés renseignent leurs informations d'identification une seule fois (lorsqu'ils se connectent à leur ordinateur) et sont automatiquement authentifiés sur votre Firebox. Cet article résume comment configurer le Single Sign-On de WatchGuard au moyen des trois composants les plus utilisés de la solution SSO de WatchGuard :
- SSO Agent — Vous devez installer SSO Agent sur votre réseau pour collecter les informations de connexion des utilisateurs et envoyer ces informations au Firebox. SSO Agent peut collecter les informations de connexion des utilisateurs auprès de SSO Client, Event Log Monitor et Exchange Monitor.
- SSO Client — Vous pouvez installer SSO Client sur les ordinateurs Windows et Mac OS X de votre réseau. SSO Client fonctionne en arrière-plan et collecte les informations d'identification des utilisateurs, les informations de domaine et les informations sur les groupes pour les envoyer à SSO Agent.
- Event Log Monitor (ELM) — Vous pouvez installer Event Log Monitor sur un serveur de chaque domaine de réseau afin de collecter les informations de connexion des utilisateurs à partir des fichiers journaux d'événements de sécurité Windows pour les ordinateurs Windows qui n'ont pas SSO Client installé.
Il n'est pas nécessaire que les versions des composants SSO correspondent entre elles ou avec la version du système d'exploitation Fireware de votre Firebox. Nous vous recommandons d'installer la dernière version disponible de SSO Agent, même si votre Firebox fonctionne avec une version plus ancienne du système d'exploitation Fireware.
Pour une description complète de tous les composants SSO de WatchGuard, les options de configuration et les fonctionnalités, consultez À propos de Single Sign-On (SSO) avec Active Directory.
La procédure de démarrage rapide se concentre sur le déploiement de composants SSO pour le SSO à partir d'ordinateurs utilisant SSO Client. Elle décrit également comment configurer Event Log Monitor comme méthode secondaire pour activer le SSO sur des ordinateurs Windows sur lesquels SSO Client n'est pas installé. Même si vous installez Event Log Monitor, nous vous recommandons d'installer SSO Client sur tous les ordinateurs Windows pour un déploiement SSO des plus fiables.
Avant de configurer le SSO pour votre réseau, vérifiez que votre configuration réseau répond à toutes les exigences.
Active Directory
- Un serveur Active Directory doit être configuré sur votre réseau local.
- Le Firebox doit être configuré de façon à utiliser l'authentification Active Directory.
- Chaque utilisateur doit disposer d'un compte d'utilisateur sur le serveur Active Directory.
- Chaque utilisateur doit se connecter avec un compte utilisateur de domaine pour que le SSO fonctionne correctement. Si les utilisateurs se connectent à un compte qui n'existe que sur leur ordinateur local, les informations d'identification ne sont pas vérifiées et le Firebox ne reconnaît pas que ces utilisateurs sont connectés.
- SSO Agent et Event Log Monitor doivent s'éxécuter en tant que compte d'utilisateur membre du groupe de sécurité Admins du Domaine ou Utilisateurs du Domaine. Astuce !Nous vous recommandons d'ajouter un compte d'utilisateur sur votre Active Directory Server à cette fin, et de configurer le mot de passe du compte pour qu'il n'expire jamais.
Si le compte d'utilisateur fait partie du groupe de sécurité Utilisateurs du Domaine, il doit avoir les droits nécessaires pour éxécuter des services sur le serveur Active Directory, pour faire des recherches dans l'annuaire et pour chercher toute autre information d'audit des utilisateurs. - Tous les ordinateurs à partir desquels les utilisateurs s'authentifient à l'aide de SSO doivent être membres du domaine Active Directory avec des relations d'approbation ininterrompues.
- Les ordinateurs Mac OS X doivent rejoindre le domaine Active Directory avant que le SSO Client puisse être installé.
- Exchange Monitor doit s'éxécuter en tant que compte d'utilisateur dans le groupe de sécurité Admins du Domaine.
Ports
- Le port TCP 445 (port pour SMB) doit être ouvert sur les ordinateurs clients.
- Le port TCP 4116 doit être ouvert sur les ordinateurs clients sur lesquels vous installez SSO Client.
- Le port TCP 4114 doit être ouvert sur le serveur sur lequel vous installez SSO Agent.
- Le port TCP 4135 doit être ouvert sur le serveur sur lequel vous installez Event Log Monitor.
- Le port TCP 4136 doit être ouvert sur le serveur sur lequel vous installez Exchange Monitor.
Pour tester si ces ports sont ouverts, vous pouvez utiliser l'outil Testeur de Port SSO. Pour plus d'information, consultez Dépannage SSO.
Journaux des événements
- Pour qu'Event Log Monitor fonctionne correctement, vous devez activer la journalisation d'audit sur tous les ordinateurs de domaine Windows pour les événements de connexion et de connexion au compte 4624 et 4634.
- Si votre réseau Windows est configuré pour un Basculement rapide d'utilisateur, vous devez :
- activer la journalisation d'audit sur tous les ordinateurs de domaine Windows pour les événements 4647, 4778 et 4779.
Ceci permet à Event Log Monitor de fonctionner correctement. - Installez Event Log Monitor v11.10 ou ultérieur.
Le programme d'installation du service WatchGuard Authentication Gateway comprend l'option d'installer Event Log Monitor.
- activer la journalisation d'audit sur tous les ordinateurs de domaine Windows pour les événements 4647, 4778 et 4779.
- Pour que les utilisateurs du protocole RDP (Remote Desktop Protocol - Protocole de Bureau Distant) puissent utiliser clientless SSO :
- Event Log Monitor v11.10 ou ultérieur doit être installé.
- Les événements Microsoft 4624 et 4634 doivent être générés sur les ordinateurs clients et contenir des attributs de Type de Connexion. Ces attributs indiquent si un événement de connexion ou de déconnexion a eu lieu sur le réseau local ou par le biais d'un RDP. Les attributs 2 et 11 spécifient les événements de connexion et de déconnexion locaux et l'attribut 10 spécifie un événement de connexion ou de déconnexion RDP.
Exigences pour Microsoft .NET
- Microsoft .NET Framework v2.0 ou version ultérieure doit être installé sur le serveur sur lequel vous installez SSO Agent.
- Pour Microsoft Exchange Server 2010 et antérieure, Microsoft .NET Framework v2.0 ou version ultérieure doit être installé sur le serveur sur lequel vous installez Exchange Monitor.
- Pour Windows Server 2012 et ultérieur et Microsoft Exchange Server 2013 et ultérieur, Microsoft .NET Framework 3.5 ou ultérieur doit être installé sur le serveur sur lequel vous installez Exchange Monitor.
Vous devez installer SSO Agent de WatchGuard. Le composant Event Log Monitor est facultatif mais recommandé comme méthode de secours pour collecter les informations de connexion des utilisateurs comme avec SSO Agent. Pour minimiser les risques de problèmes de connectivité entre les composants SSO, nous vous recommandons d'installer SSO Agent et Event Log Monitor sur le contrôleur de domaine Active Directory. Vous pouvez les installer sur n'importe quel serveur de votre domaine de réseau.
- Téléchargez le logiciel WatchGuard Single Sign-On Agent depuis la page des Téléchargements de Logiciels de votre Firebox dans le Centre de Téléchargement de Logiciels WatchGuard.
Le logiciel que vous téléchargez, le programme d'installation de Passerelle d'Authentification WatchGuard, comprend les composants Single Sign-On Agent et Event Log Monitor. - Lancez le programme d'installation de Passerelle d'Authentification WatchGuard sur le contrôleur de domaine AD.
- Cochez les cases pour installer les composants Single Sign-On Agent et Event Log Monitor.
- Spécifiez les informations d'identification d'utilisateur de domaine qu'utilisera le service de Passerelle d'Authentification WatchGuard. Le compte doit faire partie du groupe de sécurité Utilisateurs du Domaine ou Admins du Domaine et avoir les droits décrits dans l'étape 1.
Une fois le programme d'installation terminé, vous pouvez voir deux nouveaux services démarrés sur votre serveur :
- Passerelle d'Authentification WatchGuard (SSO Agent)
- WatchGuard Authentication Event Log Monitor
Pour des informations plus précises sur les autres options d'installation, consultez Installer l'Agent WatchGuard Single Sign-On (SSO) et Event Log Monitor.
Dans l'Outil de Configuration SSO Agent, vous configurez :
- Les paramètres de contacts de SSO Agent
- Les domaines Active Directory pour SSO
Pour configurer les paramètres de contacts de SSO Agent :
- Dans les programmes du menu démarrer de Windows, sélectionnez WatchGuard > Passerelle d'Authentification > Outil de Configuration de WatchGuard SSO Agent.
- Connectez-vous avec les informations d'identification admin par défaut pour l'Outil de Configuration de SSO Agent :
Nom d'utilisateur — admin
Mot de Passe — readwrite. - Dans l'outil de configuration de SSO Agent, sélectionnez Modifier > Paramètres de Contacts de SSO Agent.
- À côté de SSO Client, cochez la case Activé pour permettre à SSO Agent de contacter SSO Client.
- Sélectionnez SSO Client dans la liste et cliquez sur Haut pour le déplacer en tête de liste.
- Assurez-vous qu'Event Log Monitor est activé en priorité 2.
- Dans la liste Domaines de Contact, précisez un ou plusieurs domaines qu'Event Log Monitor ou Exchange Monitor peuvent contacter pour obtenir les informations de connexion des utilisateurs. Le nom de domaine est soumis au respect de la casse. Précisez, pour chaque domaine, la ou les adresse(s) IP du serveur exécutant les composants ELM ou EM.
Ensuite, ajoutez un domaine avec les paramètres d'un compte d'utilisateur que SSO Agent peut utiliser pour chercher dans votre serveur Active Directory. Nous vous recommandons de créer sur votre serveur Active Directory un compte d'utilisateur spécifique ayant les droits d'effectuer des recherches dans l'annuaire et dont le mot de passe n'expire jamais.
À partir des Outils de Configuration de SSO Agent :
- Sélectionnez Modifier > Ajouter un domaine.
- Dans la zone de texte Nom de domaine, saisissez le nom du domaine.
Le nom de domaine est soumis au respect de la casse. Veillez à saisir exactement le nom de domaine tel qu'il apparait sous l'onglet Active Directory dans les Paramètres du Serveur d'Authentification de votre Firebox.
Vous pouvez taper, par exemple, mon-exemple.com. - Dans la zone de texte Nom de Domaine NetBIOS, entrez le nom de domaine NetBIOS.
Le nom de domaine NetBIOS est le paramètre Nom de Domaine (avant Windows 2000) situé dans les propriétés du domaine du serveur Active Directory. - Dans la zone de texte Adresse IP du Contrôleur de Domaine, entrez l'adresse IP du serveur Active Directory de ce domaine.
Si SSO Agent est installé sur le serveur Active Directory, vous pouvez utiliser l'adresse de bouclage 127.0.0.1. - Dans la zone de texte Port, entrez le port à utiliser pour se connecter au serveur.
Le port par défaut est le 389. - Dans la section Recherche d'Utilisateur, sélectionnez une option permettant de préciser le nom d'utilisateur.
- Dans la zone de texte de l'option choisie, saisissez les informations de l'utilisateur.
Assurez-vous d'indiquer un utilisateur qui a les permissions nécessaires pour demander des informations d'audit et d'annuaire pour tout autre utilisateur d'Active Directory. Il peut s'agir du même utilisateur que vous avez choisi pour exécuter SSO Agent et Event Log Monitor, avec un mot de passe qui n'expire jamais. - Saisissez et confirmez le mot de passe de l'utilisateur de recherche.
- Pour ajouter un autre domaine, cliquez sur OK & Ajouter un autre. Répétez les étapes 1 à 8.
Pour plus d'informations sur les options de configuration de SSO Agent, consultez Configurer l'Agent SSO.
Le client Single Sign-On est facultatif mais recommandé pour une mise en œuvre du SSO des plus fiables. SSO Client fonctionne comme service système local sur chaque ordinateur d'utilisateur pour collecter les informations de connexion de l'utilisateur actuellement connecté sur cet ordinateur. Il ne demande aucune interaction de la part de l'utilisateur. Pour une mise en œuvre de SSO des plus fiables, WatchGuard recommande fortement d'utiliser SSO Client sur des ordinateurs capables de le prendre en charge.
Vous pouvez télécharger les clients Single Sign-On pour Windows et Mac OS X à partir du Centre de Téléchargement des Logiciels WatchGuard.
- Puisque le programme d'installation de SSO Client pour Windows est un fichier MSI, vous pouvez utiliser une Stratégie de Groupe Active Directory pour l'installer automatiquement lorsque des utilisateurs se connectent à votre domaine depuis un ordinateur Windows. Pour en savoir plus sur le déploiement des installations de logiciel pour les objets de stratégie de groupe Active Directory, voir la documentation de votre système d'exploitation.
- Si votre Firebox est configuré avec plusieurs domaines Active Directory, vos utilisateurs doivent installer SSO Client.
- Pour que vos utilisateurs sous Mac OS X puissent utiliser SSO Client, leurs ordinateurs doivent être connectés au serveur Active Directory.
Pour plus de détails sur l'installation de SSO Client, consultez Installer le client WatchGuard Single Sign-On (SSO).
Une fois que tous les composants sont en place, vous pouvez activer Single Sign-On sur le Firebox.
Pour activer Single Sign-On, dans la Fireware Web UI :
- Sélectionnez Authentification > Single Sign-On.
La page Single Sign-On s'affiche. - Activez la case à cocher Activer SSO (Single Sign-On) avec Active Directory.
- Dans la zone de texte Adresse IP de SSO Agent, saisissez l'adresse IP du serveur où vous avez installé SSO Agent.
Pour activer Single Sign-On, dans Policy Manager :
- Sélectionnez Configuration > Authentification > Paramètres d'authentification.
La boîte de dialogue Paramètres d'authentification s'affiche. - Sélectionnez l'onglet Single Sign-On.
- Activez la case à cocher Activer SSO (Single Sign-On) avec Active Directory.
Une fois que vous avez activé Single Sign-On, vous pouvez ajouter des exceptions SSO. Nous vous recommandons d'ajouter des exceptions SSO pour tous les périphériques réseau qui ne sont pas dans le domaine et sont susceptibles d'envoyer du trafic vers Internet. Cela comprend les périphériques réseau tels que :
- Les serveurs réseau
- Les serveurs d'impression
- Les commutateurs et routeurs gérés
- Les réseaux et ordinateurs qui ne font pas partie du domaine tels que les réseaux d'invités
- Les utilisateurs de votre réseau interne qui doivent s'authentifier manuellement sur le Portail d'Authentification
Pour plus d'informations sur l'activation de SSO et la configuration des exceptions SSO, consultez Activer le Single Sign-On (SSO) d'Active Directory.
SSO Exchange Monitor de WatchGuard est un composant facultatif que vous pouvez installer pour activer SSO sur des clients réseau utilisant Linux ou des périphériques mobiles utilisant iOS, Android ou Windows Mobile. Exchange Monitor est principalement utilisé pour l'authentification des clients mobiles, mais vous pouvez aussi l'utiliser comme connexion SSO de secours pour des ordinateurs qui ne sont pas partagés par plusieurs utilisateurs.
Pour plus d'informations, consultez Installer WatchGuard Single Sign-On (SSO) Exchange Monitor.
Pour dépanner SSO, consultez la liste des exigences et vérifiez que les serveurs de votre réseau et les composants SSO sont correctement configurés.
Voir aussi
À propos de Single Sign-On (SSO) avec Active Directory
À propos de l'authentification des utilisateurs
Commencer avec le tutoriel vidéo Single Sign-On (9 minutes)