Configurer les stratégies WebBlocker pour les groupes avec l'authentification Active Directory

Pour autoriser différents niveaux d'accès aux sites Web aux différents groupes d'utilisateurs, vous devez d'abord configurer l'authentification des utilisateurs. Vous pouvez ensuite définir des paramètres WebBlocker différents pour chaque groupe d'utilisateurs. À un niveau élevé, ces étapes sont :

• Activer et configurer l'authentification Active Directory.
• Définir les groupes d'utilisateurs correspondant aux noms de groupes sur Active Directory Server.
• Ajouter des stratégies pour chacun des groupes. La stratégie inclut les paramètres de configuration WebBlocker pour ce groupe.
• Supprimer ou modifier la stratégie sortante par défaut.
• Configurer les paramètres d'authentification pour rediriger automatiquement les utilisateurs à la page d'authentification WatchGuard.
• (Facultatif) Configurer Single Sign-On (SSO).

Exemple

Pour vous montrer comment définir cette configuration, nous utiliserons à titre d'exemple une école ayant pris la décision d'avoir trois niveaux d'accès Internet, un pour chaque groupe suivant :

• Élèves (plus de restrictions d'accès)
• Professeurs (moins de restrictions d'accès)
• Services informatiques (accès sans restriction)

Configurer l'authentification des utilisateurs

Avant de définir les paramètres WebBlocker, vous devez configurer l'authentification des utilisateurs. Utilisez à ces fins l'une des méthodes d'authentification : Active Directory, authentification locale, Radius, LDAP. Pour plus d'informations sur les méthodes d'authentification prises en charge, consultez Types de serveurs d'authentification. Supposons ici que l'école souhaite utiliser l'authentification Active Directory avec Single Sign-On.

Activer l'authentification Active Directory

Le serveur d'authentification Active Directory permet aux utilisateurs de s'authentifier sur votre Firebox à l'aide de leurs informations d'identification réseau existantes. Avant de configurer votre périphérique en vue d'une authentification Active Directory, assurez-vous que vos utilisateurs peuvent s'authentifier sans problème au serveur Active Directory.

Pour cet exemple, nous utilisons Policy Manager pour configurer le périphérique de sorte à utiliser le serveur Active Directory Server de l'école à l'adresse IP 10.0.1.100.

1. Cliquez sur .
   Ou sélectionnez Configurer > Authentification > Serveurs d'authentification.
   La boîte de dialogue Serveurs d'authentification s'affiche.
2. Sélectionnez l'onglet Active Directory.
   Les paramètres d'Active Directory apparaissent.
3. Cliquez sur Ajouter.
   Les paramètres Ajouter Active Directory apparaissent.

3. Dans la zone de texte Nom de domaine, entrez le nom de domaine à utiliser pour cet Active Directory Server.
4. Cliquez sur Ajouter.
   La boîte de dialogue Ajouter une adresse IP ou un nom DNS s'affiche.
5. Dans la liste déroulante Choisir le type, sélectionnez Adresse IP.
6. Dans la zone de texte Valeur, entrez l'adresse IP du serveur Active Directory principal.
   Dans cet exemple, saisissez 10.0.1.100.

Le serveur Active Directory peut se trouver sur n'importe quelle interface du Firebox. Vous pouvez également configurer le périphérique pour qu'il utilise un Active Directory Server disponible via un tunnel VPN.

7. Dans la zone de texte Port, entrez ou sélectionnez le numéro de port TCP utilisé pour la connexion au serveur Active Directory. Le numéro de port par défaut est 389.

Si votre Active Directory Server est un serveur de catalogue global, il est conseillé de modifier le port par défaut. Pour plus d'informations, voir Changer le port par défaut Active Directory Server.

8. Cliquez sur OK.
   L'adresse IP ou le nom DNS que vous avez ajouté(e) apparaît dans la boîte de dialogue Ajouter un domaine Active Directory.
9. Dans la zone de texte Base de recherche, entrez le point de départ de la recherche dans le répertoire.

Le format standard du paramètre de base de recherche est le suivant : ou=<nom de l'unité organisationnelle>, dc=<première partie du nom de serveur distingué>, dc=<toute partie du nom de serveur distingué qui apparait après le point>.

Cette base de recherche impose des limites aux répertoires du serveur d'authentification que le Firebox explore pour établir une correspondance d'authentification. Il est recommandé de définir la racine du domaine comme base de recherche. Cela vous permet de trouver tous les utilisateurs et tous les groupes auxquels ceux-ci appartiennent.

Dans cet exemple, le nom du domaine racine de la base de données Active Directory est exemple.com. Nous saisissons donc dc=example,dc=com pour la Base de Recherche.

Pour plus d'informations sur la façon de trouver votre base de recherche sur le serveur Active Directory, consultez Trouver votre base de recherche Active Directory.

10. Dans la zone de texte Chaîne de groupe, entrez la chaîne d'attributs utilisée pour conserver des informations de groupe d'utilisateurs sur l'Active Directory Server. Si vous ne modifiez pas le schéma Active Directory, la chaîne de groupe est toujours « memberOf » (« membre de »).

11. Dans la zone de texte Nom unique de l'utilisateur qui effectue la recherche, entrez le nom unique d'une opération de recherche.

Il n'est pas nécessaire d'entrer une valeur dans cette zone de texte si vous conservez l'attribut de connexion sAMAccountName. Si vous modifiez l'attribut de connexion, vous devez ajouter un champ Nom unique de l'utilisateur qui effectue la recherche à votre configuration. Vous pouvez entrer un nom unique, comme Administrateur, doté du privilège de recherche dans LDAP/Active Directory. Cependant, un nom unique d'utilisateur plus faible doté uniquement du privilège de recherche est généralement suffisant.

12. Dans la zone de texte Mot de passe de l'utilisateur qui effectue la recherche, entrez le mot de passe associé au nom unique d'une opération de recherche.
13. Dans le champ Attribut de connexion, entrez un attribut de connexion Active Directory à utiliser pour l'authentification.

Cet attribut est le nom utilisé pour la liaison avec la base de données Active Directory. L'attribut de connexion par défaut est sAMAccountName. Si vous utilisez sAMAccountName, les champs Nom unique de l'utilisateur qui effectue la recherche et Mot de passe de l'utilisateur qui effectue la recherche peuvent être vides.

14. Cliquez sur la touche de direction haut ou bas du Délai d'Inactivité pour configurer la durée d'inactivité du serveur avant qu'il ne soit de nouveau défini comme actif. Sélectionnez minutes ou heures dans la liste déroulante contiguë pour définir la durée.

Lorsqu'un serveur d'authentification ne répond pas au bout d'un certain temps, il est marqué comme inactif. Les tentatives d'authentification supplémentaires ne s'appliquent pas à ce serveur tant qu'il n'est pas défini comme à nouveau actif.

15. Cliquez sur OK.
16. Enregistrer le Fichier de Configuration.

Définir les utilisateurs et groupes autorisés

Avant de pouvoir utiliser les groupes Active Directory dans des stratégies, vous devez définir les groupes dans la configuration du Firebox de Policy Manager. Les noms de groupes que vous ajoutez doivent correspondre aux groupes sur votre Active Directory Server.

Si un utilisateur est déjà connecté lorsque vous ajoutez un nouveau groupe à la configuration du Firebox, le Firebox ajoute cet utilisateur uniquement lorsqu'il s'y connecte à nouveau.

1. Sélectionnez Configuration > Authentification > Utilisateurs et Groupes.
   La boîte de dialogue Utilisateurs et Groupes s'affiche.
2. Cliquez sur Ajouter.
   La boîte de dialogue Définir un nouvel utilisateur ou un nouveau groupe autorisé s'affiche.

3. Dans la zone de texte Nom, tapez le nom du groupe sur Active Directory Server.
   Dans cet exemple, les élèves se trouvent dans le groupe Active Directory Elèves. Nous saisissons donc Elèves.
4. (Facultatif) Dans la zone de texte Description, entrez la description du groupe.
5. Vérifiez que Type est réglé sur Groupe.
6. Dans la liste déroulante Serveur d'auth., sélectionnez Active Directory.

Répétez ces étapes pour créer des groupes pour Professeurs et Services informatiques.

Créer une stratégie de proxy HTTP pour les élèves

Le Firebox utilise deux catégories de stratégies pour filtrer le trafic réseau : les filtres de paquets et les proxies.

Stratégie de filtrage des paquets

Un filtre de paquets inspecte l'en-tête IP et TCP/UDP de chaque paquet. Lorsque l'information de l'en-tête du paquet est autorisée par les paramètres de filtrage, Firebox autorise le paquet. Dans le cas contraire, il l'abandonne.

Stratégie de proxy

Un proxy inspecte l'information d'en-tête et le contenu de chaque paquet. Lorsque l'information de l'en-tête du paquet et son contenu sont autorisés par les paramètres de proxy, Firebox autorise le paquet. Dans le cas contraire, il l'abandonne.

Pour bloquer l'accès à des catégories de sites Web à un groupe d'utilisateurs, vous devez utiliser Policy Manager pour créer une stratégie de proxy HTTP pour ces utilisateurs et définir une action WebBlocker pour cette stratégie. Le proxy HTTP inspectera alors le contenu et autorisera ou refusera l'accès à un site Web en fonction des catégories WebBlocker configurées pour cette stratégie.

1. Sélectionnez Modifier > Ajouter des Stratégies.
   La boîte de dialogue Ajouter des stratégies s'ouvre.
2. Développez le dossier Proxies et sélectionnez Proxy HTTP. Cliquez sur Ajouter.
   La boîte de dialogue Propriétés de la nouvelle stratégie apparaît.

3. Changez le nom de la stratégie de proxy pour qu'il désigne le groupe auquel il s'applique.
   Dans cet exemple, nous nommons la stratégie de proxy proxy HTTP Elèves.
4. Dans l'onglet Stratégie, dans la section De, cliquez sur Tout approuvé. Cliquez sur Supprimer.
5. Dans la section De, cliquez sur Ajouter pour ajouter le groupe d'utilisateurs à cette stratégie.
   La boîte de dialogue Ajouter une adresse s'affiche.
6. Cliquez sur Ajouter un utilisateur . Sélectionnez Pare-feu et Groupe dans les listes déroulantes.
   La boîte de dialogue Ajouter des utilisateurs ou des groupes autorisés s'affiche.

7. Sélectionnez le groupe Élèves. Cliquez sur Sélectionner. Cliquez sur OK.
   La boîte de dialogue Propriétés de la Nouvelle Stratégie s'affiche avec le groupe Elèves dans la section De de la stratégie.

8. Cliquez sur .
   La boîte de dialogue Configuration de l'action de proxy HTTP s'affiche.

9. Dans la liste de catégories, sélectionnez WebBlocker.
   Configuration WebBlocker s'affiche.
10. À côté de la liste déroulante WebBlocker, cliquez sur .
    La boîte de dialogue Nouvelle configuration de WebBlocker s'affiche.

11. Dans la zone de texte Nom, tapez un nom pour cette configuration WebBlocker.
    Dans cet exemple, saisissez Elèves.
12. Dans l'onglet Serveurs, sélectionnez Utiliser le nuage Websense pour les recherches WebBlocker.
13. Sélectionnez l'onglet Catégories pour afficher les catégories de contenu pouvant être bloquées.
14. Cochez la case de chaque catégorie à bloquer pour les utilisateurs du groupe Elèves.

Créer une stratégie de proxy HTTP pour les professeurs

Dans Policy Manager, répétez les mêmes étapes pour configurer une stratégie différente pour le groupe des Professeurs.

1. Sélectionnez Modifier > Ajouter des Stratégies.
   La boîte de dialogue Ajouter des stratégies s'ouvre.
2. Développez le dossier Proxies et sélectionnez Proxy HTTP. Cliquez sur Ajouter.
   La boîte de dialogue Propriétés de la nouvelle stratégie apparaît.

3. Changez le nom de la stratégie de proxy pour qu'il désigne le groupe auquel il s'applique.
   Dans cet exemple, nous nommons la stratégie de proxy proxy HTTP Professeurs.
4. Dans l'onglet Stratégie, dans la section De, cliquez sur Tout approuvé. Cliquez sur Supprimer.
5. Dans la section De, cliquez sur Ajouter pour ajouter le groupe d'utilisateurs à cette stratégie.
   Pour les besoins de la démonstration, ajoutez le groupe Professeurs.
6. Cliquez sur Ajouter un utilisateur . Sélectionnez Pare-feu et Groupe dans les listes déroulantes.
   La boîte de dialogue Ajouter des utilisateurs ou des groupes autorisés s'affiche.

7. Sélectionnez le groupe Professeurs. Cliquez sur Sélectionner. Cliquez sur OK.
   La boîte de dialogue Propriétés de la Nouvelle Stratégie s'affiche avec le groupe Professeurs dans la section De de la stratégie.

8. Cliquez sur .
   La boîte de dialogue Configuration de l'action de proxy HTTP s'affiche.
9. Dans la liste de catégories, sélectionnez WebBlocker.
   Configuration WebBlocker s'affiche.
10. À côté de la liste déroulante WebBlocker, cliquez sur .
    La boîte de dialogue Nouvelle configuration de WebBlocker s'affiche.
11. Dans la zone de texte Nom, tapez un nom pour cette configuration WebBlocker.
    Dans cet exemple, saisissez Professeurs.
12. Dans l'onglet Serveurs, sélectionnez Utiliser le nuage Websense pour les recherches WebBlocker.
13. Sélectionnez l'onglet Catégories pour voir les catégories de contenu pouvant être bloquées.

14. Cochez la case de chaque catégorie à bloquer pour les utilisateurs du groupe Professeurs.
15. Cliquez sur OK.

Créer une stratégie de filtrage des paquets HTTP pour le groupe des services informatiques

L'équipe informatique a un accès sans restrictions à Internet. Etant donné que nous n'avons pas besoin d'une stratégie d'inspection du contenu des paquets HTTP pour ces utilisateurs, nous utilisons Policy Manager pour créer une stratégie de filtrage des paquets HTTP plutôt qu'une stratégie de proxy HTTP.

1. Sélectionnez Modifier > Ajouter des Stratégies.
   La boîte de dialogue Ajouter des stratégies s'ouvre.
2. Ouvrez le dossier Filtres de paquets et sélectionnez HTTP. Cliquez sur Ajouter.
   La boîte de dialogue Propriétés de la nouvelle stratégie apparaît.

3. Changez le nom de la stratégie de proxy pour qu'il désigne le groupe auquel il s'applique.
   Dans cet exemple, nous nommons la stratégie de proxy HTTP Informatique.
4. Dans l'onglet Stratégie, dans la liste De, cliquez sur Tout-Approuvé. Cliquez sur Supprimer.
5. Dans la section De, cliquez sur Ajouter pour ajouter le groupe d'utilisateurs à cette stratégie.
   Pour les besoins de la démonstration, ajoutez le groupe Informatique.
6. Cliquez sur Ajouter un utilisateur . Sélectionnez Pare-feu et Groupe dans les listes déroulantes.
   La boîte de dialogue Ajouter des utilisateurs ou des groupes autorisés s'affiche.

7. Sélectionnez le groupe Informatique. Cliquez sur Sélectionner. Cliquez sur OK.
   La boîte de dialogue Propriétés de la Nouvelle Stratégie s'affiche avec le groupe Informatique dans sa section De.

8. Cliquez sur OK.

Les membres du groupe Informatique ne sont plus touchés par les restrictions de WebBlocker.

Supprimer ou modifier la stratégie de trafic sortant

Après avoir configuré votre proxy HTTP pour ajouter un profil WebBlocker, vous devez vous assurer que la stratégie de trafic sortant par défaut n'autorise pas les clients du réseau à visiter des sites Web sans authentification. Pour vous assurer que vos clients réseau s'authentifient avant de pouvoir naviguer sur Internet, vous pouvez utiliser Policy Manager afin de supprimer la stratégie de trafic sortant et ajouter les stratégies de réseau sortant nécessaires, ou bien vous pouvez modifier la stratégie de trafic sortant et y ajouter vos groupes d'authentification des utilisateurs WebBlocker. Les options de cette alternative sont expliquées ci-après.

Option 1 : Supprimer la Stratégie de Trafic Sortant et Ajouter d'Autres Stratégies de Réseau Sortant

Cette option est recommandée si vous souhaitez un contrôle supérieur de l'accès réseau sortant. Vous devez savoir quels ports et protocoles sont nécessaires pour satisfaire aux exigences de votre entreprise.

Pour commencer, supprimez la stratégie de trafic sortant :

1. Sélectionnez la stratégie de trafic Sortant.
2. Sélectionnez Modifier > Supprimer la stratégie.
3. Cliquez sur Oui pour confirmer.

Ensuite, ajoutez une stratégie de filtrage des paquets DNS, autorisant les requêtes DNS sortantes :

1. Sélectionnez Modifier > Ajouter des Stratégies.
   La boîte de dialogue Ajouter des stratégies s'ouvre.
2. Développez le dossier Filtres de paquets et sélectionnez DNS. Cliquez sur Ajouter.
   La boîte de dialogue Propriétés de la nouvelle stratégie apparaît.
3. Ajoutez l'ensemble de vos réseaux internes à la section De de la stratégie.
4. Cliquez sur OK pour enregistrer la stratégie.

Enfin, ajoutez des stratégies personnalisées :

Ajoutez des stratégies personnalisées pour tout autre trafic sortant nécessaire. Exemples de stratégies personnalisées que vous pourriez ajouter :

• UDP
• SMTP (si vous avez un serveur de messagerie)

Pour obtenir des informations sur l'ajout d'une stratégie personnalisée, consultez À propos des stratégies personnalisées.

Option 2 : Ajouter Vos Groupes d'Authentification des Utilisateurs à la Stratégie de Trafic Sortant

Si vous ne savez pas très bien quels autres ports et protocoles sortants sont nécessaires à votre entreprise, ou bien le niveau de contrôle du trafic sortant fourni par votre configuration par défaut vous satisfait, vous pouvez utiliser Policy Manager et modifier la stratégie de trafic sortant pour y ajouter vos groupes d'authentification.

1. Double-cliquez sur la stratégie de trafic sortant.
   La boîte de dialogue Modifier les propriétés de la stratégie s'affiche.
2. Dans la liste De, sélectionnez Tout-Approuvé. Cliquez sur Supprimer.
3. Dans la liste De, sélectionnez Tout-Facultatif. Cliquez sur Supprimer.
4. Dans la section De, cliquez sur Ajouter.
   La boîte de dialogue Ajouter une adresse s'affiche.
5. Cliquez sur Ajouter un utilisateur . Sélectionnez Pare-feu et Groupe dans les listes déroulantes.
   La boîte de dialogue Ajouter des utilisateurs ou des groupes autorisés s'affiche.

6. Sélectionnez tous les groupes d'authentification que vous avez créés. Cliquez sur Sélectionner.
7. Cliquez sur OK.
   La boîte de dialogue Modifier les propriétés de la stratégie s'affiche pour la stratégie Sortant. Les groupes sélectionnés s'affichent à la section De de la stratégie.

Rediriger automatiquement les utilisateurs vers le portail de connexion

Dans Policy Manager, vous pouvez définir les paramètres globaux d'authentification pour rediriger automatiquement les utilisateurs ne s'étant pas encore authentifiés vers le portail d'authentification lorsqu'ils essaient d'accéder à Internet.

1. Sélectionnez Configuration > Authentification > Paramètres d'authentification.
   La boîte de dialogue Paramètres d'authentification s'ouvre.
2. Cochez la case Rediriger automatiquement les utilisateurs vers la page d'authentification.

WebBlocker est désormais configuré pour utiliser diverses stratégies selon les différents groupes d'utilisateurs authentifiés ; il redirige automatiquement ceux qui ne le sont pas vers une page d'authentification.

Configuration de Single Sign-On (SSO).

Lorsque les utilisateurs se connectent à des ordinateurs du réseau, ils doivent donner un nom d'utilisateur et un mot de passe. Si vous utilisez l'authentification Active Directory sur le Firebox pour restreindre le trafic réseau sortant aux utilisateurs ou groupes spécifiés, les utilisateurs doivent se connecter de nouveau lorsqu'ils s'authentifient manuellement pour accéder à des ressources réseau telles qu'Internet. Vous pouvez utiliser la fonctionnalité Single Sign-On (SSO) pour que les utilisateurs des réseaux approuvés ou facultatifs soient automatiquement authentifiés auprès du Firebox lorsqu'ils s'identifient sur leur ordinateur.

Pour utiliser SSO, vous devez installer le logiciel SSO Agent sur un ordinateur de votre domaine. Nous vous conseillons d'installer le logiciel SSO Client sur chaque ordinateur lorsque plusieurs personnes l'utilisent, par exemple en milieu scolaire.

Pour plus d'informations sur la fonctionnalité Single Sign-On, consultez À propos de Single Sign-On (SSO) avec Active Directory.

Voir également

Utiliser des actions WebBlocker dans des définitions de proxy

À propos du proxy HTTP

Définir les valeurs d'authentification globale au pare-feu

Envoyer Vos Commentaires  •   Obtenir de l'Aide  •   Documentation Complète des Produits  •   Recherche Technique

© 2018 WatchGuard Technologies, Inc. Tous droits réservés. WatchGuard, le logo de WatchGuard, WatchGuard Dimension, Firebox, Core, Fireware et LiveSecurity sont des marques déposées ou des marques de commerce de WatchGuard Technologies aux Etats-Unis et/ou dans d'autres pays.