Gilt für: Cloud-verwaltete Fireboxen
In diesem Hilfethema wird beschrieben, wie Sie RADIUS Single Sign-On (SSO) für Cloud-verwaltete Fireboxen aktivieren. Informationen zum Aktivieren von Active Directory Single Sign-On siehe Active Directory SSO für Cloud-verwaltete Fireboxen aktivierenWeitere Informationen zum Konfigurieren und Aktivieren von RADIUS SSO für lokal verwaltete Fireboxen finden Sie unter RADIUS Single Sign-On aktivieren.
RADIUS Single Sign-On (RSSO) ermöglicht es Benutzern, sich automatisch bei der Firebox zu authentifizieren, wenn sie RADIUS zur Authentifizierung bei einem RADIUS-Client, wie z. B. einem WLAN Access Point, verwenden.
Wenn Sie RADIUS SSO aktivieren, werden die Gruppe RADIUS-SSO-Users und die Systemregel Allow RADIUS SSO Users automatisch erstellt, um ausgehende Verbindungen von Benutzern zu ermöglichen, die über RADIUS SSO authentifiziert werden. Sie können diese Gruppe verwenden oder neue Gruppen erstellen, die mit den Namen der Benutzergruppen auf Ihrem RADIUS-Server übereinstimmen.
Um den Datenverkehr vom RADIUS-Rechnungslegungsserver zur Firebox zuzulassen, wird die Regel Allow RADIUS SSO Service ebenfalls automatisch erstellt.
Wenn Sie RADIUS SSO deaktivieren, werden die Gruppe RADIUS-SSO-Users und die Regeln Allow RADIUS SSO Users und Allow RADIUS SSO Service automatisch entfernt.
Bevor Sie RADIUS SSO auf Ihrer Firebox aktivieren, müssen Sie über diese Informationen verfügen:
- IP-Adresse — Die IP-Adresse Ihres RADIUS-Servers
- Secret — Groß- und Kleinschreibung beachtendes gemeinsames Geheimnis, das zur Verifizierung von RADIUS-Nachrichten zwischen dem RADIUS-Server und der Firebox verwendet wird
- Gruppenattribut — Die RADIUS-Attributnummer, die zum Abrufen von Gruppennamen aus Meldungen vom RADIUS-Rechnungslegungsserver verwendet wird
Session-Timeout und Timeout Inaktivität
Bei RADIUS SSO werden Benutzersitzungen auf der Grundlage von RADIUS SSO-Timeouts und nicht auf der Grundlage der in der Firebox eingestellten globalen Authentifizierungs-Timeouts beendet. Die RADIUS SSO-Einstellungen umfassen zwei Timeout-Werte.
Session-Timeout
Die maximale Zeitspanne, in der der Benutzer Datenverkehr an das externe Netzwerk senden kann. Wenn Sie dieses Feld auf null Sekunden, Minuten, Stunden oder Tage einstellen, läuft die Session nicht ab und der Benutzer kann beliebig lange verbunden bleiben.
Timeout Inaktivität
Die maximale Zeit, die der Benutzer im Leerlauf authentifiziert bleiben kann (kein Datenverkehr zum externen Netzwerk). Wenn Sie dieses Feld auf null Sekunden, Minuten, Stunden oder Tage einstellen, wird die Session nicht unterbrochen, wenn sie inaktiv ist, und der Benutzer kann beliebig lange inaktiv bleiben.
Wenn ein Benutzer die Verbindung trennt, bevor diese Timeout-Grenzen erreicht sind, entfernt die Firebox die Session, wenn sie eine STOP-Meldung vom RADIUS-Rechnungslegungsserver empfängt, die den Benutzernamen und die IP-Adresse des Clients enthält. Weitere Informationen zu Meldungen vom RADIUS-Rechnungslegungsserver finden Sie unter Über RADIUS Single Sign-On.
Konfigurieren des RADIUS-Servers
Um RADIUS SSO zu aktivieren, müssen Sie den RADIUS-Server so konfigurieren, dass er Pakete vom RADIUS-Rechnungslegungsserver an eine IP-Adresse der Firebox an Port 1813 weiterleitet, und Sie müssen das gemeinsame Geheimnis konfigurieren, das für die Kommunikation zwischen dem RADIUS-Server und der Firebox verwendet wird.
Fireboxen konfigurieren
Wenn Sie die Einstellungen für RADIUS SSO auf Ihrer Firebox aktivieren und konfigurieren, müssen Sie die IP-Adresse des RADIUS-Servers angeben.
RADIUS SSO über WatchGuard Cloud aktivieren und konfigurieren:
- Wählen Sie Konfigurieren > Geräte.
- Wählen Sie die Cloud-verwaltete Firebox aus.
- Klicken Sie auf Gerätekonfiguration.
- Klicken Sie auf der Kachel Authentifizierung auf Einstellungen.
- Wählen Sie Single Sign-On.
- Aktivieren Sie Single Sign-On mit RADIUS.
- Geben Sie in das Textfeld IP-Adresse die IP-Adresse Ihres RADIUS-Servers ein.
- Geben Sie in das Textfeld Geheimnis das gemeinsame Geheimnis ein, das Sie auf dem RADIUS-Server konfiguriert haben. Beim gemeinsamen Geheimnis wird zwischen Groß- und Kleinschreibung unterschieden, und es muss auf der Firebox und dem RADIUS-Server identisch sein.
- Geben Sie im Textfeld Gruppenattribut die RADIUS-Attributnummer an, die Informationen über die Gruppenmitgliedschaft enthält. In den meisten Fällen wird das Attribut Filter-ID (11) für diesen Zweck verwendet.
- Geben Sie in das Textfeld Session-Timeout die maximale Zeit ein, die der Benutzer authentifiziert bleiben kann, bevor die Sitzung beendet wird, oder wählen Sie diese aus.
- Geben Sie in das Textfeld Timeout Inaktivität die maximale Zeit ein, die der Benutzer im Leerlauf sein kann, bevor die Sitzung beendet wird.
- Klicken Sie auf Speichern.
RADIUS SSO-Regeln und -Gruppen
Wenn Sie RADIUS SSO (RSSO) aktivieren, werden zwei Regeln automatisch zu Ihrer Firebox-Konfiguration hinzugefügt:
- Allow RADIUS SSO Service — Erlaubt Datenverkehr zwischen RADIUS-Rechnungslegungsserver und Firebox
- Allow RADIUS SSO Users — Lässt ausgehenden TCP- und UDP-Datenverkehr für RADIUS SSO-authentifizierte Benutzer zu
Meldungen vom RADIUS-Rechnungslegungsserver enthalten Informationen über die Gruppenmitgliedschaft des authentifizierten Benutzers. Die Gruppe RADIUS-SSO-Users auf der Firebox umfasst automatisch alle Benutzer, die nicht Mitglied einer auf der Firebox vorhandenen Gruppe sind. Der ausgehende Datenverkehr für diese Benutzer wird durch die Regel Allow RADIUS SSO Users zugelassen.
Wenn Benutzer, die sich über RADIUS SSO authentifizieren, Mitglieder einer Gruppe auf dem RADIUS-Server sind, können Sie dieselbe Gruppe auf der Firebox erstellen und dann diesen Gruppennamen in Regeln verwenden. Wenn ein Benutzer, der über RADIUS SSO authentifiziert wird, Mitglied einer Gruppe ist, die auf der Firebox vorhanden ist, ist der Benutzer kein Mitglied der Gruppe RADIUS-SSO-Users, sodass Sie eine Regel erstellen müssen, um den Datenverkehr für den Benutzer oder die Gruppe zuzulassen.
Active Directory SSO für Cloud-verwaltete Fireboxen aktivieren