À Propos des Gateways

S'applique À : Authentification Multifacteur AuthPoint, AuthPoint Total Identity Security

L'AuthPoint Gateway est une application que vous installez sur votre réseau afin qu'AuthPoint puisse communiquer avec vos clients RADIUS, AuthPoint agent for ADFS et vos bases de données LDAP ou Active Directory. La Gateway fonctionne comme un serveur RADIUS. Elle est nécessaire pour l'authentification RADIUS et pour que les utilisateurs LDAP synchronisés s'authentifient auprès des ressources SAML.

La Gateway fonctionne sous forme de quatre services: Gateway, RADIUS, LDAP et ADFS. La Gateway utilise ces ports de service TCP pour la communication interne entre les différents services de Gateway :

  • Service WatchGuard AuthPoint Gateway — Port TCP 9000
  • Service WatchGuard AuthPoint RADIUS — Port TCP 9001
  • Service WatchGuard AuthPoint LDAP — Port TCP 9002
  • Service WatchGuard AuthPoint ADFS — Port TCP 9003

Si d'autres applications utilisent ces ports de service TCP, la Gateway peut ne pas démarrer ou apparaître hors ligne.

Vous pouvez voir la ou les Gateway que vous avez configurées sur la page Gateway. Pour chaque Gateway, une mosaïque indique la version installée, l'adresse IP et l'état actuel de la Gateway.

  • Icône Point Vert — La Gateway est installée et peut communiquer avec WatchGuard Cloud
  • Icône de Point Gris — La Gateway n'est pas installée
  • Icône de Point Rouge — La Gateway n'est pas connectée et ne peut pas communiquer avec WatchGuard Cloud

Exigences

Vous pouvez installer AuthPoint Gateway sur les systèmes d'exploitation compatibles suivants :

  • Windows Server 2012 R2
  • Windows Server 2016
  • Windows Server 2019
  • Windows Server 2022

AuthPoint Gateway nécessite Java. Vous devez installer Amazon Corretto 11 ou 15. Pour télécharger Corretto, accédez à l'adresse aws.amazon.com/corretto/.

Java doit être configuré pour tout le système et non pour un seul utilisateur. Si vous configurez Java pour un seul utilisateur, l'installation de la Gateway échouera.

AuthPoint Gateway ne peut pas être installé sur les serveurs Windows dont le mode FIPS a été activé.

Gateways Principales et Secondaires

Vous pouvez configurer plus d'une Gateway sur un réseau. Pour chaque Gateway principale que vous configurez, vous pouvez configurer jusqu'à cinq Gateways secondaires.

Gateway Principale

La Gateway principale synchronise vos utilisateurs LDAP et permet l'authentification RADIUS et l'authentification des utilisateurs LDAP. Cette Gateway est le point de communication principal entre AuthPoint et vos clients RADIUS, AuthPoint agent for ADFS et votre base de données Active Directory ou LDAP.

Gateway Secondaire

Vous pouvez configurer des Gateways secondaires de secours pour l'authentification des utilisateurs LDAP. Lorsque votre Gateway principale n'est pas disponible, AuthPoint envoie automatiquement les authentifications des utilisateurs LDAP par la Gateway secondaire jusqu'à ce que la Gateway principale redevienne disponible.

Vous pouvez également utiliser les Gateways secondaires comme serveurs RADIUS de secours. La seule limitation est que le logiciel ou périphérique tiers qui envoie les demandes d'authentification à la Gateway doit prendre en charge l'utilisation de serveurs RADIUS supplémentaires.

Les Gateways secondaires ne peuvent servir à l'équilibrage de charge ou la synchronisation d'utilisateurs LDAP.

Configurer une Gateway Principale

Avant d'installer la Gateway, vous devez la configurer depuis l'AuthPoint management UI.

  1. Dans le menu de navigation, sélectionnez Gateway.
  2. Cliquez sur Ajouter une Gateway.

Screen shot that shows the Gateway.

  1. Dans la zone de texte Nom, tapez un nom descriptif pour la Gateway.
  2. Dans la section RADIUS, dans la zone de texte Port, saisissez le numéro de port que le client RADIUS doit utiliser pour communiquer avec la Gateway (serveur RADIUS). Par défaut, les ports de la Gateway sont 1812 et 1645.

    Si vous avez déjà un serveur RADIUS installé qui utilise le port 1812 ou 1645, tel que le rôle Serveur de Stratégie Réseau,vous devez utiliser un port différent pour l'AuthPoint Gateway.

    Pour que la Gateway fonctionne avec les ressources client RADIUS, vous devrez peut-être créer une nouvelle règle de pare-feu entrant pour le port RADIUS UDP que vous avez configuré, ou désactiver le pare-feu Windows.

  1. Dans la liste Sélectionner une ressource RADIUS, sélectionnez votre ressource client RADIUS.

Screen shot that shows the RADIUS section of the Add Gateway page.

  1. Dans la section ADFS, dans la liste Sélectionner une ressource ADFS, sélectionnez votre ressource ADFS.

Screen shot that shows the ADFS section of the Gateway page.

  1. Dans la section LDAP, dans la liste Sélectionner un fournisseur LDAP, sélectionnez votre serveur LDAP ou Active Directory.

    Si vous avez plusieurs identités externes sur le même réseau, vous pouvez configurer une Gateway principale pour synchroniser les utilisateurs de toutes vos identités externes ou vous pouvez configurer plusieurs Gateways principales pour synchroniser les utilisateurs de chaque identité externe.

  2. Cliquez sur Enregistrer.

Screen shot that shows the LDAP section of the Gateway page.

  1. Au bas de la mosaïque de votre Gateway, cliquez sur Clé d'Enregistrement.

Screen shot that shows the Gateway page.

  1. Dans la fenêtre Clé d'Enregistrement, copiez la clé d'enregistrement. Vous avez besoin de cette valeur pour installer la Gateway.

    La clé d'enregistrement de la Gateway est une clé à usage unique. Si l'installation de la Gateway échoue, vous devez générer une nouvelle clé à utiliser pour l'installation.

Screen shot that shows the Registration Key window.

Télécharger et Installer la Gateway

  1. Dans le menu de navigation, sélectionnez Télécharger.
  2. Dans la section Programme d'Installation de la Gateway, cliquez sur Télécharger le Programme d'Installation.

Screen shot that shows the Gateway section of the Downloads page.

  1. Exécutez le programme d'installation de la Gateway depuis n'importe quel point de votre réseau ayant accès à Internet et pouvant se connecter à vos clients RADIUS et serveur LDAP.
    La boîte de dialogue Configuration WatchGuard AuthPoint Gateway s'affiche.

    Dans certains cas, un logiciel antivirus peut entraîner l'échec de l'installation de la Gateway. Nous vous recommandons de désactiver votre logiciel antivirus pendant l'installation de la Gateway.

  2. Dans la zone de texte Clé d'Enregistrement de la Gateway, saisissez ou collez la clé d'enregistrement d'AuthPoint de la Gateway.
  3. Cliquez sur Installer.

Screen shot that shows the Gateway installation wizard.

  1. Cliquez sur Terminer.

Screen shot that shows the Gateway installation wizard.

  1. Assurez-vous que le port RADIUS (le port par défaut est 1812 ou 1645) est ouvert sur le serveur sur lequel la Gateway est installée. Ce port n'est pas ouvert par défaut. Si le port est ouvert, assurez-vous qu'il n'est pas utilisé par un autre composant de ce serveur, ce qui provoquerait un conflit avec la Gateway.

    Pour que la Gateway fonctionne avec les ressources client RADIUS, vous devrez peut-être créer une nouvelle règle de pare-feu entrant pour le port RADIUS UDP que vous avez configuré, ou désactiver le pare-feu Windows.

  2. Dans l'AuthPoint management UI, sur la page Gateway, vérifiez l'icône circulaire à côté du nom de votre Gateway. Une icône verte indique que la Gateway est correctement installée et qu'elle peut communiquer avec AuthPoint.

    Si l'installation de la Gateway échoue, vous devez générer une nouvelle clé à utiliser pour l'installation.

Screen shot that shows the Gateway page.

Configurer et Installer des Gateways Secondaires

Pour chaque Gateway principale, vous pouvez ajouter jusqu'à cinq Gateways secondaires. Lorsque vous ajoutez une Gateway secondaire, elle hérite des propriétés et des associations de la Gateway principale. Lorsque vous modifiez la Gateway principale, ces modifications sont également apportées à toutes ses Gateways secondaires.

Pour ajouter une Gateway secondaire, votre Gateway principale doit être installée avec la version 5 ou supérieure.

Pour ajouter une Gateway secondaire :

  1. Sur la mosaïque de votre Gateway principale, cliquez sur Ajouter Secondaire.
  2. Saisissez un nom pour votre Gateway secondaire.
  3. Cliquez sur Enregistrer.
    La Gateway secondaire est créée.
  4. À côté de la Gateway secondaire que vous avez ajoutée, cliquez sur Icône de Menu et sélectionnez Clé d'Enregistrement.
    La fenêtre Clé d'Enregistrement s'ouvre.
  5. Copiez la clé d'enregistrement de la Gateway secondaire. Vous avez besoin de cette valeur pour installer la Gateway.

Après avoir ajouté une Gateway secondaire, vous devez télécharger et installer une autre Gateway (version 5 ou supérieure) sur votre réseau, à un endroit différent de la Gateway principale. Les étapes pour installer une Gateway secondaire sont les mêmes que pour une Gateway principale. Pour installer une Gateway, consultez Télécharger et Installer la Gateway.

Les Gateways secondaires s'installent avec leur propre clé d'enregistrement. Lorsque vous installez une Gateway secondaire, assurez-vous d'utiliser la bonne clé d'enregistrement.

Changer la Gateway Principale

Si vous avez configuré une ou plusieurs Gateways secondaires, vous pouvez sélectionner une Gateway secondaire pour en faire la nouvelle Gateway principale utilisée pour synchroniser les utilisateurs LDAP. La Gateway principale actuelle devient alors une Gateway secondaire.

Lorsque vous modifiez une Gateway secondaire pour qu'elle devienne la Gateway principale, cela n'affecte pas le processus d'authentification entre le serveur RADIUS et le client RADIUS (Firebox). Le Firebox envoie toujours en premier les demandes d'authentification au serveur RADIUS configuré comme principal sur le Firebox. Si le Firebox ne reçoit pas de réponse du serveur RADIUS principal, après trois tentatives d'authentification infructueuses, le Firebox envoie les demandes d'authentification au serveur RADIUS secondaire. Si vous souhaitez modifier le serveur RADIUS utilisé par un Firebox pour l'authentification, vous devez effectuer cette modification dans les paramètres du Firebox. Pour plus d'informations sur la façon de modifier le serveur RADIUS pour l'authentification, accédez à Utiliser un Serveur d'Authentification de Sauvegarde.

Pour modifier la Gateway principale, votre Gateway secondaire doit être installée et connectée à WatchGuard Cloud.

Pour changer de Gateway principale :

  1. À côté de la Gateway secondaire, cliquez sur Icône de Menu et sélectionnez Rendre Principale.
    La fenêtre Rendre la Gateway Principale s'ouvre.
  2. Cliquez sur Rendre Principale.

La Gateway secondaire devient la Gateway principale et est utilisée pour synchroniser les utilisateurs depuis votre base de données Active Directory ou LDAP.

Migrer une Gateway ou Mettre à Niveau le Serveur de la Gateway

Si vous souhaitez mettre à niveau le système d'exploitation de votre serveur de la Gateway principal ou simplement déplacer la Gateway principale vers un nouveau serveur, vous installez une nouvelle instance de l'AuthPoint Gateway sur votre nouveau serveur en tant que Gateway secondaire. Une fois la nouvelle Gateway installée, vous pouvez désinstaller la Gateway principale.

  1. Configurez et installez une Gateway secondaire sur le nouveau serveur. La Gateway secondaire hérite des propriétés et des associations de la Gateway principale.
  2. Remplacez votre nouvelle Gateway secondaire par la Gateway principale. Pour plus d'informations, accédez à Modifier la Gateway principale.
  3. Désinstallez l'ancienne Gateway principale.

Rubriques Connexes

Mettre à Jour une Gateway Installée

Clé d'Enregistrement de la Gateway

Synchroniser des Utilisateurs à partir d'Active Directory ou de LDAP

Configurer la MFA pour un Client RADIUS

Utilisateurs Mis en Quarantaine

URL Utilisées par les Services WatchGuard Cloud (Article de la Base de Connaissances)