Rubriques Connexes
Dépanner Single Sign-On (SSO)
Une fois que vous avez activé SSO sur votre Firebox et que vous avez installé et configuré les composants WatchGuard SSO sur votre réseau, si vous avez des problèmes avec votre déploiement SSO, vous pouvez utiliser les informations dans cette rubrique pour vérifier s'il y a des erreurs de configuration dans votre déploiement qui peuvent être à l'origine du problème.
Toutes les méthodes SSO
Active Directory
- Votre serveur Active Directory est configuré sur votre réseau approuvé ou facultatif.
- Tous les utilisateurs ont un compte d'utilisateur sur le serveur Active Directory.
Firebox
- Votre Firebox est configuré de façon à utiliser l'authentification Active Directory pour SSO
- L'adresse IP de SSO Agent est spécifié dans la configuration de Firebox
- Les exceptions SSO sont spécifiées pour les réseaux et les périphériques qui ne font pas partie du domaine, tels que des réseaux et des routeurs invités
SSO Agent
- Le port TCP 4114 est ouvert sur le serveur sur lequel vous installez SSO Agent.
- Microsoft .NET Framework v2.0 ou version ultérieure est installé sur le serveur sur lequel vous installez SSO Agent.
- SSO Agent s'éxécute en tant que compte d'utilisateur membre du groupe de sécurité Admins du Domaine ou Utilisateurs du Domaine. Astuce !Nous vous recommandons d'ajouter un compte d'utilisateur sur votre serveur Active Directory à cet effet et de paramétrer votre mot de passe pour qu'il n'expire jamais.
Si le compte d'utilisateur fait partie du groupe de sécurité Utilisateurs du Domaine, assurez-vous qu'il a les droits nécessaires pour éxécuter des services sur le serveur Active Directory, pour faire des recherches dans l'annuaire et pour chercher toute autre information d'audit des utilisateurs. - SSO Agent est configuré correctement
Pour vérifier que SSO Agent est configuré correctement :
- Depuis le menu Démarrer de Windows, sélectionnez Tous les Programmes > WatchGuard > Passerelle d'Authentification > SSO Agent.
- Connectez-vous à SSO Agent. Le nom d'utilisateur et le mot de passe par défaut sont admin et readwrite.
- Sélectionnez Modifier > Paramètres des Contacts de SSO Agent.
- Vérifiez quue votre méthode SSO préférée est activée et définie comme Priorité 1. Si vous avez configuré une méthode de SSO de secours, vérifiez qu'elle soit activée et définie comme Priorité 2.
SSO avec SSO Client
- Le port TCP 4116 est ouvert sur les ordinateurs clients sur lesquels vous avez installé SSO Client
- Les ordinateurs Mac OS X ont été ajoutés au domaine Active Directory avant que SSO Client soit installé
- Tous les ordinateurs à partir desquels les utilisateurs s'authentifient à l'aide de SSO sont membres du domaine Active Directory avec des relations d'approbation ininterrompues.
- Tous les utilisateurs se connectent avec un compte d'utilisateur de domaine, et non pas un compte d'utilisateur d'ordinateur local. Si les utilisateurs se connectent à un compte d'utilisateur qui n'existe que sur leur ordinateur local, leurs informations d'identification ne sont pas vérifiées et le Firebox ne reconnaît pas qu'ils sont connectés.
- SSO Client est activé dans les paramètres SSO Agent. Pour spécifier SSO Client comme votre méthode SSO principale, définissez-la comme Priorité 1.
Clientless SSO avec Event Log Monitor
- Le port TCP 4135 est ouvert sur le contrôleur de domaine où est installé Event Log Monitor
- Event Log Monitor est installé sur un contrôleur de domaine pour chaque domaine Active Directory dans votre réseau
- Event Log Monitor s'éxécute en tant que compte d'utilisateur membre du groupe de sécurité Admins du Domaine ou Utilisateurs du Domaine Astuce !Nous vous recommandons d'ajouter un compte d'utilisateur sur votre serveur Active Directory à cet effet. Nous vous recommandons de paramétrer le mot de passe de votre compte pour qu'il n'expire jamais.
- Si le compte fait partie du groupe de sécurité Utilisateurs du Domaine, assurez-vous qu'il a les droits nécessaires pour éxécuter des services sur le serveur Active Directory, pour faire des recherches dans l'annuaire et pour chercher toute autre information d'audit des utilisateurs.
- Event Log Monitor est activé dans les paramètres SSO Agent. Pour spécifier Event Log Monitor comme votre méthode SSO principale, définissez-la comme Priorité 1. Pour la définir comme votre méthode SSO de secours, définissez-la comme Priorité 2.
- Une fois que vous activez la génération des messages de journal d'audit pour les événements de connexion du compte, le Journal d'Événement de sécurité sur votre ordinateur Windows génère les événements Windows 4624 et 4634 après des actions de connexion et de déconnexion
- Le fichier Journal des Événements de Sécurité n'est pas plein sur vos ordinateurs Windows
Pour activer les journaux d'audit pour les événements de connexion du compte :
- Sélectionnez Démarrer > Outils d'administration > Gestion des Stratégies de Groupe.
- Faites un clic droit sur Stratégie de Domaine par Défaut , puis cliquez sur Modifier.
L'Éditeur de Gestion des Stratégies de Groupe s'affiche. - À partir de Configuration de l'Ordinateur, sélectionnez Statégies > Paramètres Windows > Paramètres de Sécurité > Stratégies locales > Stratégies d'Audit.
- Ouvrez Auditer les événements de connexion aux comptes.
- Cochez la case Définir ces paramètres de stratégie.
- Cochez la case Réussi.
Pour générer des messages de journal supplémentaires qui peuvent vous aider à dépanner les problèmes d'authentification, cochez la case Échec.
Une fois le problème résolu, n'oubliez pas de décocher la case Échec. - Cliquez sur OK.
- Forcez les ordinateurs de l'utilisateur à obtenir la stratégie de groupe mise à jour avec l'une de ces méthodes :
- Exécutez gpupdate localement sur l'ordinateur, ou à distance avec la commande gpupdate /target.
- Demandez à l'utilisateur de se déconnecter et de reconnecter à nouveau.
- Redémarrez l'ordinateur de l'utilisateur.
Clientless SSO avec Exchange Monitor
- le port TCP 4136 est ouvert sur le serveur où vous avez installé Exchange Monitor
- Exchange Monitor est installé sur le même serveur sur lequel votre serveur Microsoft Exchange est installé
- Exchange Server est configuré pour générer des journaux IIS dans le format de journal W3C Développé et des messages de journal d'accès client RPC
- Exchange Monitor s'exécute comme compte d'utilisateur dans le groupe de sécurité Admins du domaine
- le domaine de contact d'Exchange Monitor est spécifié dans les paramètres SSO Agent, si SSO Agent n'est pas installé sur votre contrôleur de domaine, ou Exchange Monitor et SSO Agents sont installés sur des domaines différents.
- Exchange Monitor est activé dans les paramètres SSO Agent. Pour spécifier Exchange Monitor comme votre méthode SSO principale, définissez-la comme Priorité 1. Pour la définir comme votre méthode SSO de secours, définissez-la comme Priorité 2.
- Les utilisateurs lancent un programme de messagerie avant de tenter d'obtenir un accès à Internet. Ceci génère les messages de journal IIS sur votre Exchange Server qu'Exchange Monitor requiert pour SSO.
Clientless SSO avec Mode Active Directory
Le Mode Active Directory (AD) est une méthode de secours. Le Mode AD peut ne pas fonctionner comme prévu dans certaines circonstances et il peut introduire des risques de sécurité. Nous ne recommandons pas le Mode AD comme méthode SSO principale.
le port TCP 445 (Partage de fichiers et d'imprimante/SMB Windows) est ouvert sur tous les ordinateurs de l'utilisateur.
Pour tester si le port 445 est ouvert, vous pouvez utiliser :
- L'outil Testeur de Port SSO
- Un client telnet
Par exemple, lors d'une invite de commande Windows, saisissez telnet x.x.x.x 445. N'oubliez pas de remplacer x.x.x.x par l'adresse IP de l'autre ordinateur de l'utilisateur.
Tester la Connexion au Port SSO
Pour vérifier que l'agent SSO peut contacter Event Log Monitor et Exchange Monitor via les ports requis, vous pouvez utiliser l'outil Testeur de port SSO. Cet outil teste la connectivité des ports entre le serveur où vous avez installé SSO Agent et :
- La plage d'adresses IP
- L'adresse IP unique
- Le sous-réseau spécifique
- La liste d'adresses IP spécifiques
Vous devez importer un fichier texte qui comprend les adresses IP à tester.
- Connectez-vous à l'Outil de Configuration de SSO Agent.
- Sélectionnez Modifier > Paramètres des Contacts de SSO Agent.
- Cliquez sur Tester le port SSO.
La boîte de dialogue Tester le port SSO s'affiche.
- Dans la section Spécifier des adresses IP, sélectionnez une option :
- Plage d'adresses IP d'hôte
- Adresse IP du réseau
- Importer des adresses IP
- Si vous avez sélectionné Plage d'adresses IP d'hôte, entrez la plage d'adresses IP à tester dans la zone de texte Plage d'adresses IP d'hôte. Pour tester une adresse IP unique, saisissez la même adresse IP dans les deux zones de texte.
Si vous avez sélectionné Adresse IP du réseau, entrez l'adresse IP du réseau à tester dans la zone de texte Adresse IP du réseau.
Si vous avez sélectionné Importer des Adresses IP, cliquez sur et sélectionnez le fichier texte contenant la liste d'adresses IP à tester. - Dans la zone de texte Ports, entrez les numéros de port à tester.
Pour tester plusieurs ports, entrez tous les numéros de port séparés par une virgule, sans espace. - Cliquez sur Tester.
Les résultats du test de port apparaissent dans la fenêtre Tester le port SSO. - Pour enregistrer les résultats des tests dans un fichier journal, cliquez sur Sauvegarder le journal, puis indiquez le nom de fichier et un emplacement dans lequel enregistrer le fichier journal.
- Pour arrêter le processus de l'outil de test de port, cliquez sur Quitter.
Vérifier la Version du Logiciel SSO
Vérifiez que vous avez installé le logiciel composant SSO v11.10 ou ultérieur.
Les versions de logiciel SSO antérieures à v11.10 ne prennent pas en charge :
- Le Basculement Rapide d'Utilisateur de Windows
- RDP pour clientless SSO
- L'authentification SSO via BOVPN
Les versions de logiciel SSO antérieures à v11.9.3 ne prennent pas en charge RDP pour SSO Client.
Les versions des composants SSO dans votre solution SSO ne doivent pas nécessairement être identiques entre elles et ne doivent pas nécessairement être identiques à la version de Fireware sur votre Firebox. Nous vous recommandons d'installer la dernière version disponible de SSO Agent, même si votre Firebox fonctionne avec une version plus ancienne de Fireware.
Messages d'Erreur Courants
Accès Refusé
Vous pouvez voir ce message d'erreur si :
- Il y a des périphériques sur le réseau qui ne sont pas des ordinateurs, par exemple des imprimantes et des routeurs.
- Il y a des ordinateurs ou d'autres périphériques sur le réseau qui ne sont pas membres du domaine
- Un utilisateur a fourni des informations d'identification de domaine invalides pour SSO
- Les services SSO sur le serveur ou l'ordinateur ne possèdent pas les privilèges d'Administrateur
Pour dépanner ce message d'erreur :
- Vérifiez que la relation d'approbation entre l'ordinateur du domaine et le contrôleur du domaine est correcte. S'il existe un problème d'appartenance à un domaine, retirez l'ordinateur du domaine et rajoutez-le à nouveau au domaine.
- Pour confirmer que le problème d'appartenance au domaine est résolu, essayez de vous connecter à un serveur membre du domaine sur votre réseau via un chemin UNC.
Par exemple, si le nom de votre serveur fichier est CompanyShare, lors d'une invite de commande Windows, saisissez \\CompanyShare. Si vous ne pouvez pas accéder à ce dossier et que le message d'erreur de permission de Windows s'affiche, vérifiez les paramètres sur le serveur Active Directory : paramètres de l'ordinateur, paramètres du compte utilisateur et la relation d'approbation.
Utilisateur Inconnu
Cette erreur peut avoir comme cause :
- Des fichiers de journal d'événements qui n'existent pas ou sont pleins
- Un ordinateur qui n'est pas un membre du domaine
- Des tentatives de connexion SSO par des utilisateurs RDP lorsque votre logiciel composant SSO doit être mis à niveau
Vous devez exécuter v11.10 ou ultérieure pour que les utilisateurs puissent faire une connexion RDP avec SSO. - Les ID de l'Événement Windows qui ne sont pas pris en charge par les composants SSO de Watchguard
- Un utilisateur qui n'est pas connecté
SMB via port TCP 445 pas ouvert sur le serveur distant. Vérifiez le pare-feu.
Le port TCP 445 n'est pas ouvert sur l'ordinateur de l'utilisateur, ou le service qui écoute le port TCP 445 n'a pas répondu.
Hôte distant 'x.x.x.x' au statut déconnecté
Aucun utilisateur n'est connecté ou l'utilisateur qui était connecté a entamé le processus de déconnexion.
Le chemin du réseau est introuvable
Il n'existe pas de route vers l'hôte.
Voir aussi
À propos de Single Sign-On (SSO) avec Active Directory
Démarrage Rapide — Configurer Single Sign-On (SSO) avec Active Directory