本章节介绍 Dell SonicWALL 网络安全设备对本地和远程验证用户的用户管理功能用户。本章节包含以下子节:
• 用户管理简介
• 配置本地用户
• 配置本地群组
• 配置单一登录
• 配置多管理员支持
更多信息,请参见以下章节:
• 使用 LDAP / Active Directory / eDirectory 验证
• 单一登录概述
• 多管理员支持概述
Dell SonicWALL 网络安全设备提供用户级别的身份验证机制,使用户可以远程在互联网访问 LAN,并可以对尝试访问互联网的 LAN 用户实施或绕过内容过滤策略。您还可以只允许验证的用户访问 VPN 隧道和在加密的连接内发送数据。防火墙在所有用户尝试访问不同区域(例如 WAN、VPN、WLAN 等)的网络资源因而产生通过防火墙的网络流量时立即进行身份验证。防火墙不会验证登录 LAN 上的计算机,但仅执行本地任务的用户。用户级别的身份验证可以使用本地用户数据库、LDAP、RADIUS 或者本地数据库与 LDAP 或 RADIUS 的组合执行。SonicOS 还提供单一登录 (SSO) 功能。SSO 可以结合 LDAP 使用。防火墙上的本地数据库最多可以支持 1000 名用户。如果您有 1000 名以上用户,必须使用 LDAP 或 RADIUS 进行身份验证。
Dell SonicWALL 网络安全设备提供本地数据库用于存储用户和群组信息。您可以配置防火墙以使用该本地数据库验证用户和控制他们的网络访问权限。在访问网络的用户数相对较少时,本地数据库是优于 LDAP 或 RADIUS 的一种选择。创建很多用户和群组的条目很花时间,但在条目创建完成后,维护起来并不难。对于具有较多用户的网络,使用 LDAP 或 RADIUS 服务器进行用户验证可能更为高效。
要对用户应用内容过滤服务 (CFS) 策略,用户必须是本地群组的成员,且向群组应用了 CFS 策略。要使用 CFS,您不能使用 LDAP 或 RADIUS,除非将这种方法与本地身份验证组合使用。在使用组合的身份验证方法以运用 CFS 策略时,本地群组的名称必须精确匹配 LDAP 或 RADIUS 群组的名称。在使用 LDAP + 本地用户验证方法时,您可以将 LDAP 服务器中的群组导入到防火墙上的本地数据库。这极大简化了将应用 CFS 策略的匹配群组的创建。
SonicOS 用户界面提供创建本地用户和群组帐户的途径。您可以添加用户和编辑任何用户的配置,包括以下设置:
• 群组成员 - 用户可以属于一个或多个本地群组。所有用户默认属于“所有人”和“受信任用户”群组。您可以移除用户的这些群组成员身份,并添加其他群组的成员身份。
• VPN 访问 - 您可以配置该用户可以通过 VPN 客户端发起访问的网络。在配置 VPN 访问设置时,您可以从网络列表中选择。网络由其地址组或地址对象名称指定。
注 用户和群组的 VPN 访问配置会影响远程客户端使用 GVC、NetExtender 和 SSL VPN 虚拟办公室书签访问网络资源的能力。要允许 GVC、NetExtender 或虚拟办公室用户访问网络资源,必须将网络地址对象或群组添加到“VPN 访问”选项卡上的“允许”列表。
您还可以添加或编辑本地群组。群组的可配置设置包括:
• 群组设置 - 对于管理员群组,您可以配置 SonicOS 以允许在未激活登录状态弹出窗口时登录到管理界面。
• 群组成员 - 群组成员可以是本地用户或其他本地群组。
• VPN 访问 - 群组 VPN 访问的配置方式与用户的 VPN 访问相同。您可以配置该群组成员可以通过 VPN 客户端发起访问的网络。在配置 VPN 访问设置时,您可以从网络列表中选择。网络由其地址组或地址对象名称指定。
• CFS 策略 - 您可以对群组成员应用内容过滤 (CFS) 策略。只有在防火墙当前获得专业版内容过滤服务许可时,才可以使用 CFS 策略设置。
远程身份验证拨入用户服务 (RADIUS) 是 Dell SonicWALL 网络安全设备用于验证尝试访问网络的用户的协议。RADIUS 服务器包含带有用户信息的数据库, 并使用密码验证协议 (PAP)、质询握手身份验证协议 (CHAP)、Microsoft CHAP (MSCHAP) 或 MSCHAPv2 等身份验证方案检查用户凭据。
RADIUS 与 LDAP 极为不同,除了主要提供安全验证以外,还可以提供各条目的很多属性,包括可用于传回用户群组成员身份的各种属性。RADIUS 可以存储数千用户的信息,如果有很多用户需要访问网络,这会是一种好的用户验证方法。
使用 LDAP / Active Directory / eDirectory 验证
轻型目录访问协议 (LDAP) 定义了用于存储和管理网络中元素的信息的目录服务结构,信息包括用户帐户、用户群组、主机和服务器等。有多个不同的标准使用 LDAP 管理用户账户、群组和权限。有些是您可以使用 LDAP 管理的专有系统,例如 Microsoft Active Directory。有些是开放的标准 SAMBA,即 LDAP 标准的实施。有些是提供 LDAP API 用于管理用户存储库信息的专有系统,例如 Novell eDirectory。
除了 RADIUS 和 本地用户数据库,SonicOS 还支持使用 LDAP 进行用户验证,并支持很多方案,包括 Microsoft Active Directory (AD), 、Novell eDirectory 目录服务,和应该允许与任何方案交互的完全可配置的用户定义选项。
Microsoft Active Directory 还适用 Dell SonicWALL 单一登录和 Dell SonicWALL SSO 代理。更多信息,请参见单一登录概述。
为了集成公司网络中使用的最常见目录服务,SonicOS 支持集成以下 LDAP 方案:
• Microsoft Active Directory
• RFC2798 InetOrgPerson
• RFC2307 网络信息服务
• Samba SMB
• Novell eDirectory
• 用户定义的方案
SonicOS 为运行以下协议的目录服务器提供支持:
• LDAPv2 (RFC3494)
• LDAPv3 (RFC2251-2256, RFC3377)
• 通过 TLS 的 LDAPv3 (RFC2830)
• 带有 STARTTLS 的 LDAPv3 (RFC2830)
• LDAP 提名 (RFC2251)
LDAP 术语
在使用 LDAP 及其变式时,以下术语很有用:
• 方案 - 方案是定义目录中可存储的数据类型以及如何存储这些数据的一组规则或结构。数据以“条目”形式存储。
• Active Directory (AD) - 通常结合基于 Windows 的网络使用的 Microsoft 目录服务。Microsoft Active Directory 与 LDAP 兼容。
• eDirectory - 用于基于 Novell NetWare 的网络的 Novell 目录服务。Novell eDirectory 具有可用于管理的 LDAP 网关。
• 条目 - LDAP 目录中存储的数据。条目存储在“属性/值”(或名称/值)对中,其中,属性按“对象类别”定义。示例条目有 ‘cn=john’,其中‘cn’(常用名)是属性,‘john’是值。
• 对象类别 - 对象类别定义了 LDAP 目录可能包含的条目类型。AD 使用的示例对象类别有“用户”或“群组”。
Microsoft Active Directory 的类可在 http://msdn.microsoft.com/library/ 浏览
• 对象 - 在 LDAP 术语中,目录中的条目被称为对象。在 LDAP 客户端的 SonicOS 实施中,关键的对象是“用户”和“群组”对象。LDAP 的不同实施可以使用不同形式指代这些对象类别,例如,Active Directory 指代将用户对象称为“用户”,将群组对象称为“群组”,而 RFC2798 将用户对象称为“inetOrgPerson”,将群组对象称为“groupOfNames”。
• 属性 - 存储在 LDAP 目录的对象中的数据项。对象可以具有必需的属性或允许的属性。例如,‘dc’属性是‘dcObject’(域组件)对象的必需属性。
• dn - “识别名”,是用户或其他对象的全局唯一名称。这由多个组件组成,通常以常用名 (cn) 组件开头,以指定为两个或多个域组件 (dc) 的域结尾。例如‘cn=john,cn=users,dc=domain,dc=com’
• cn -“常用名”属性是 LDAP 中很多对象类别的必需组件。
• ou -“组织单位”属性是大多数 LDAP 方案实施的必需组件。
• dc -“域组件”属性通常存在于识别名的根中,且通常是必需属性。
• TLS - 传输层安全性是 IETF 标准化版本的 SSL(安全套接字层)。TLS 1.0 是 SSL 3.0 的后续版本。
本章节介绍 SonicOS 单一登录功能。本章节包含以下子节:
• 什么是单一登录?
• 平台和支持的标准
单一登录 (SSO) 是提供对多个网络资源的特许访问的透明用户验证机制,其中,通过单一域登录工作站或通过 Windows 终端服务或 Citrix服务器。
Dell SonicWALL 网络安全设备提供使用单一登录代理(SSO 代理)的 SSO 功能和 SonicWALL 终端服务代理 (TSA) 识别用户活动。单一登录代理(SSO 代理)根据工作站 IP 地址识别用户。TSA 通过服务器 IP 地址、用户名和域的组合识别用户。
SonicWALL SSO 在结合 Samba 使用时,也适用于 Mac 和 Linux 用户。此外,浏览器 NTLM 验证允许 SonicWALL SSO 验证发送 HTTP 流量的用户,而不涉及 SSO 代理 或 Samba。
SonicWALL SSO 在 SonicOS 管理界面的用户> 设置页面配置。SSO 独立于登录的身份验证方法设置,后者可同时用于 VPN/L2TP 客户端用户或管理用户的身份验证。
根据来自 SonicWALL SSO 代理或 TSA 的数据,防火墙查询 LDAP 或本地数据库确定群组成员身份。防火墙策略选择性检查成员身份以控制谁被给予访问权限,成员身份还可用于选择内容过滤和应用程序控制的策略以控制允许成员访问的内容。从 SSO 获得的用户名被用于用户的流量和事件日志报告和 AppFlow 监控中。
配置的不活动时间计时器适用于 SSO,但会话限制不适用,不过,注销的用户在再次发送流量时会自动而明确地重新登录。
直接登录到工作站或终端服务/Citrix 服务器但未登录到域的用户将不会接受身份验证,除非他们发送 HTTP 流量且浏览器 NTML 身份验证被启用(不过可以选择性对其进行身份验证以给予有限访问权限)。对于 SonicWALL SSO 未验证的用户,屏幕将显示要求手动登录到设备以接受进一步身份验证。
被识别但缺少群组成员身份的用户会被配置的策略规则重定向至“阻止访问”页面。
SonicWALL SSO 是根据管理员配置的群组成员身份和策略匹配情况利用单一登录提供对多个网络资源访问权限的可靠而省时的功能。SonicWALL SSO 对最终用户透明,且需要最少的管理员配置。
SonicWALL SSO 通过根据工作站 IP 地址流量或来自服务器 IP 地址上特定用户的流量(对于终端服务或 Citrix)自动确定用户何时登录或注销,因而安全、便捷。SSO 身份验证适用于可以使用 SonicWALL Directory Connector 兼容协议返回位于工作站或终端服务/Citrix 服务器 IP 地址的用户身份的任何外部代理。
SonicWALL SSO 可用于使用用户级别身份验证的防火墙的任何服务,包括内容过滤服务 (CFS)、防火墙访问规则、群组成员身份和继承以及安全服务(IPS、GAV 和防间谍软件)包含/排除列表。
SonicWALL SSO 的其他优点包括:
• 易于使用 - 用户只需要登录一次,即可获得多个资源的自动访问权限。
• 改善的用户体验 - Windows 域凭据可用于对任何流量类型验证用户身份,而无需使用 Web 浏览器登录设备。
• 为用户提供透明性 - 用户无需重新输入用户名和密码进行身份验证。
• 安全通信 - 共享密钥加密提供数据传输保护。
• SonicWALL SSO 代理可以安装在 LAN 上的任何 Windows 服务器上,TSA 可以安装在任何终端服务器上。
• 多个 SSO 代理 - 最多支持 8 个代理以提高安装容量
• 多个 TSA - 支持多个终端服务代理(每个终端服务器一个)。数目取决于 Dell SonicWALL 网络安全设备的型号,范围从 8 至 512。
• 登录机制适用于任何协议,并非仅 HTTP。
• 浏览器 NTLM 验证 - SonicWALL SSO 可以验证发送 HTTP 流量的用户身份,而不使用 SSO 代理。
• Mac 和 Linux 支持 - 如使用 Samba 3.5 及更高版本,SonicWALL SSO 支持 Mac 和 Linux 用户。
• 按区域实施 - 如果在事件日志或 AppFlow 监控中进行用户识别,即使防火墙访问规则或安全服务策略未自动启动,也可以为来自任何区域的流量触发 SonicWALL SSO。
SSO 代理与支持 SonicWALL SSO 的所有 SonicOS 版本兼容。TSA 受支持。
SSO 功能支持 LDAP 和本地数据库协议。SonicWALL SSO 支持 SonicWALL Directory Connector。为了使 SonicWALL SSO 的所有功能可以正常工作,SonicOS 应使用 Directory Connector 3.1.7 或更高版本。
要结合使用 SonicWALL SSO 与 Windows 终端服务或 Citrix,必须安装 SonicOS 6.0 或更高版本,且必须在服务器上安装 SonicWALL TSA。
要结合使用 SonicWALL SSO 和浏览器 NTLM 验证,必须安装 SonicOS 6.0 或更高版本。浏览器 NTLM 验证不需要 SSO 代理。
除非使用了仅浏览器 NTLM 验证,否则使用 SonicWALL SSO 需要在可以连至客户端和从设备连接(直接连接或通过 VPN 路径)的 Windows 域的服务器上安装 SSO 代理,并且/或者在域的任何终端服务器上安装 TSA。
运行 SSO 代理必须满足以下要求:
• UDP 端口 2258(默认)必须开放,防火墙默认使用 UDP 端口 2258 与 SonicWALL SSO 代理通信,如果配置了自定义端口取代 2258,则这项要求适用于自定义端口
• 具有最新服务包的 Windows Server
• .NET Framework 2.0
• Net API 或 WMI
注 Mac 和 Linux PC 不支持 SSO 代理使用的 Windows 网络请求,因此需要安装 Samba 3.5 或更新版本才能使用 SonicWALL SSO。如果未安装 Samba,Mac 和 Linux 用户仍可以访问,但需要登录。如果策略规则被设为需要身份验证,这些用户可能被重定向至登录提示。更多信息,请参见Mac 和 Linux 用户调适。
运行 TSA 必须满足以下要求:
• UDP 端口 2259(默认)必须在安装 TSA 的所有终端服务器上开放,防火墙默认使用 UDP 端口 2259 与 SonicWALL TSA 代理通信,如果配置了自定义端口取代 2259,则这项要求适用于自定义端口
• 具有最新服务包的 Windows Server
• Windows 终端服务器系统上安装的 Windows 终端服务或 Citrix
SonicWALL SSO 需要最低管理员配置和且对用户透明。
SSO 在以下情况中被触发:
• 要求用户验证的防火墙访问规则应用于并非来自 WAN 区域的流量
• 如果在访问规则中未指定用户群组,但符合以下任意条件,就会对区域上的所有流量触发 SSO(注意并非仅符合这些条件的流量):
– 区域上启用了 CFS,且设置了多 CFS 策略
– 区域上启用了 IPS,且 IPS 策略要求身份验证
– 区域上启用了防间谍软件,且防间谍软件策略要求身份验证
– 要求身份验证的应用程序控制策略应用于源区域
– 对区域设置了按区域的 SSO 实施
SSO 用户表格也用于安全服务需要的用户和群组识别,这些安全服务包括内容过滤、入侵保护、防间谍软件和应用程序控制。
使用 SSO 代理的 SonicWALL SSO 身份验证
对于单个 Windows 工作站上的用户,SSO 工作站上的 SSO 代理处理来自防火墙的身份验证请求。使用 SSO 代理的 SonicWALL SSO 身份验证有六个步骤,如下图所示。
在用户流量通过防火墙时,SSO 身份验证过程即被启动。例如,当用户访问互联网时。在防火墙向运行 SSO 代理(SSO 工作站)的身份验证代理发送“用户名”请求和工作站 IP 地址时,用户发送的数据包被暂时阻止和保存。
运行 SSO 代理的身份验证代理为防火墙提供当前登录到工作站的用户名。将为登录的用户创建用户 IP 表条目,类似于 RADIUS 和 LDAP。
使用终端服务代理的 SonicWALL SSO 身份验证
对于从终端服务或 Citrix 服务器登录的用户,TSA 在身份验证过程中取代 SSO 代理。过程有以下几点不同:
• TSA 在用户登录的相同服务器上运行,且在发送至防火墙的初始通知中包含用户名和域以及服务器 IP 地址。
• 按用户编号和 IP 地址识别用户(对于非终端服务用户,任意 IP 地址上只有一个用户,因此不使用用户编号)。非零用户编号以 "x.x.x.x user n" 格式显示在 SonicOS 管理界面上,其中, x.x.x.x 是服务器 IP 地址,n 是用户编号。
• 在用户注销时,TSA 向 SonicOS 发送结束通知,不会进行轮询。
用户被识别后,防火墙查询 LDAP 或本地数据库(基于管理员配置)以查找用户群组的成员身份,将其与策略相匹配,并相应地向用户授予或限制访问权限。成功完成登录次序后,保存的数据包被发送。如果在完成次序前收到来自相同源地址的数据包,则只保存最近的数据包。
运行 SSO 代理的身份验证代理以<域>/<用户名>格式返回用户名。对于本地配置的用户群组,用户名可以配置为从运行 SSO 代理的身份验证代理返回完整名称(在防火墙本地用户数据库中配置名称以进行匹配)或去除域组件的简单用户名(默认)。
对于 LDAP 协议,通过创建“dc”(域组件)属性符合域名的“域”类对象的 LDAP 搜索将<域>/<用户名>格式转换为 LDAP 识别名。如果找到对象,其识别名将被用作目录子树搜索用户对象。例如,如果返回的用户名是“SV/bob”,将搜索“objectClass=domain”和“dc=SV”的对象。如果返回的对象的识别名为“dc=sv,dc=us,dc=sonicwall,dc=com,”,将在该目录子树下创建对“objectClass=user”和“sAMAccountName=bob”的对象的搜索(以 Active Directory 为例)。如果未找到域对象,将从目录树顶部搜索用户对象。
找到域对象后,信息即被保存,以避免搜索相同对象。如果尝试在保存的域中查找用户失败,则保存的域信息将被删除,将进行另一次域对象搜索。
与使用 TSA 的 SSO 相比,使用 SSO 代理的 SonicWALL SSO 对用户注销的处理略有不同。防火墙以可配置的频率轮询运行 SSO 代理的身份验证代理,以确定用户何时注销。用户注销时,运行 SSO 代理的身份验证代理向防火墙发送“用户已注销”的响应,以此确认用户已注销并终止 SSO 会话。与防火墙轮询不同,TSA 本身监控终端服务/Citrix 服务器以获知注销事件并同时通知防火墙,因而终止 SSO 会话。对于这两种代理,可以设置可配置的不活动时间计时器,对于 SSO 代理,可以配置用户名请求轮询频率(设置短轮询时间以快速检测注销事件,或设置较长的轮询时间降低系统花费)。
使用浏览器 NTLM 验证的 SonicWALL SSO 验证
对于使用基于 Mozilla 的浏览器(包括 Internet Explorer、Firefox、Chrome 和 Safari)浏览的用户,防火墙通过 NTLM(NT LAN 管理器)身份验证支持识别。NTLM 是称为“集成 Windows 安全”的浏览器身份验证套件的一部分,受所有基于 Mozilla 的浏览器支持。它允许从设备至浏览器的直接身份验证请求,不涉及 SSO 代理。NTLM 通常用于没有域控制器的情况,例如通过 Web 远程验证用户。
NTLM 验证目前支持 HTTP,但不适用于 HTTPS 流量。
在 SSO 代理尝试获取用户信息前后,可以尝试浏览器 NTLM 验证。例如,如果先尝试 SSO 代理但未能识别用户,且流量是 HTTP,就会尝试 NTLM。
要对 Linux 或 Mac 客户端以及 Windows 客户端使用这种方法,您还可以启用 SSO 探测客户端的 NetAPI 或 WMI,这取决于 SSO 代理的具体配置。这会导致防火墙在请求 SSO 代理识别用户之前,探测 NetAPI/WMI 端口上的响应。如果没有响应,这些设备的 SSO 立即失败。对于 Windows PC,此类探测一般有效(除非被个人防火墙阻止)并将使用 SSO 代理。对于 Linux/Mac PC(假定未设置为运行 Samba 服务器),探测将失败,将绕过 SSO 代理,且在发送 HTTP 流量时使用 NTLM 验证。
在用户使用 HTTP 浏览前,NTLM 无法识别用户,所以此前的所有流量将被视为未识别。将应用默认的 CFS 策略,要求经验证用户的任何规则都不会让流量通过。
如果配置为 NTLM 在 SSO 代理之前使用,则如果先收到 HTTP 流量,将使用 NLM 验证用户。如果先收到非 HTTP 流量,将使用 SSO 代理进行身份验证。
SSO 代理必须安装在 Windows 域可使用 IP 地址或使用 VPN 等路径直接与客户端和防火墙通信的工作站上。有关 SSO 代理的安装说明,请参阅安装 SonicWALL SSO 代理。
支持多 SSO 代理以容纳具有数千用户的大型安装。您最多可以配置八个 SSO 代理,分别都在您网络中的专用、高性能 PC 上运行。注意,快速 PC 上的一个 SSO 代理最多可以支持 2500 名用户。
SSO 代理仅与客户端和防火墙通信。SSO 代理使用共享密钥加密 SSO 代理和防火墙之间的消息。
注 共享密钥在 SSO 代理中生成,在 SSO 配置期间在防火墙中输入的密钥必须完全匹配 SSO 代理生成的密钥。
防火墙通过默认的端口 2258 查询 SSO 代理。然后,SSO 代理在客户端和防火墙之间通信以确定客户端的用户 ID。防火墙以管理员配置的频率轮询 SSO 代理以持续确认用户的登录状态。
SSO 代理根据管理员选择的记录级别向 Windows 事件日志发送日志事件消息。
防火墙还在其事件日志中记录 SSO 代理特定的事件。以下是来自防火墙的 SSO 代理特定日志事件消息的列表:
• 用户登录被拒绝 - 策略规则不允许 - 用户被识别,且不属于阻止用户流量的策略所允许的任何用户群组。
• 用户登录被拒绝 - 在本地未找到 - 用户在本地未被找到,且防火墙选中了仅允许本地列出的用户。
• 用户登录被拒绝 - SSO 代理超时 - 尝试联系 SSO 代理已超时。
• 用户登录被拒绝 - SSO 代理配置错误 - SSO 代理未正确配置,无法允许该用户访问。
• 用户登录被拒绝 - SSO 代理通信问题 - 与运行 SSO 代理的工作站的通信发生问题。
• 用户登录被拒绝 - SSO 代理的代理名称解析失败 - SSO 代理无法解析用户名。
• SSO 代理返回的用户名太长 - 用户名太长。
• SSO 代理返回的域名太长 - 域名太长。
注 SSO 代理特定的日志消息的注释字段将包含文字
<域/用户名>,通过 SSO 代理验证身份。
TSA 可以安装在已安装终端服务或 Citrix 的任意 Windows 服务器上。服务器必须属于可使用 IP 地址或使用 VPN 等路径直接与防火墙通信的 Windows 域。
有关 TSA 的安装说明,请参阅安装 SonicWALL 终端服务代理。
有关 TSA 的信息,请参见以下章节:
• 多 TSA 支持
• 与本地子网的连接
要容纳包含数千用户的大型安装,防火墙可配置为使用多个终端服务代理运行(每个终端服务器一个)。支持的代理数取决于型号,如表 10所示。
|
对于 Dell SonicWALL 9000 系列网络安全设备,每个终端服务器最多可支持 32 个 IP 地址。
如果 TSA 和防火墙之间的消息包含用户名和域,TSA 使用共享密钥进行加密。用户的首个开放通知始终被加密,因为 TSA 包含用户名和域。
注 共享密钥在 TSA 中生成,在 SSO 配置期间在防火墙中输入的密钥必须完全匹配 TSA 密钥。
TSA 在所有通知中都包含用户会话 ID,而不是每次都包含用户名和域。这既高效又安全,且允许 TSA 在代理重启后与终端服务用户重新同步。
TSA 根据设备返回的信息动态学习网络拓扑结构,在习得后,就不会向设备发送未通过设备的后续用户连接的通知。因为 TSA 没有“忘记”这些本地目标的机制,如果设备上接口之间的子网被移动,应该重新启动 TSA。
防火墙具有允许非域用户的有限访问设置用于选择性向非域用户(登录到本地机器而非域的用户)授予有限访问权限和,这与其他 SSO 用户一样适用于终端服务用户。
如果您的网络包含非 Windows 设备或运行了个人防火墙的 Windows 计算机,请选中探测用户旁的框,并选中 NetAPI 或 WMI 的单选按钮,这取决于 SSO 代理的具体配置。这会导致防火墙在请求 SSO 代理识别用户之前,探测 NetAPI/WMI 端口上的响应。如果没有响应,这些设备的 SSO 立即失败。此类设备不响应或可能阻止 SSO 代理用于识别用户的 Windows 联网消息。
非用户连接从终端服务器打开,用于获取 Windows 更新和防病毒更新。TSA 可以识别来自登录的服务的连接是非用户连接,并在发送给设备的通知中加以标识。
要控制这些非用户连接的处理,设备的 TSA 配置上有允许终端服务器的非用户流量绕过访问规则中的用户验证复选框。如选中,这些连接就被允许。如果未选中此复选框,服务被视为本地用户,可以通过选中允许非域用户的有限访问设置和在具有相应服务名称的设备上创建用户帐户向其授予访问权限。
参见以下部分:
对于域用户,NTLM 响应通过 RADIUS 中的 MSCHAP 机制进行验证。必须在设备上启用 RADIUS。
在配置 NTLM 验证时,将应用 SSO 配置的用户选项卡中的以下设置:
• 仅允许本地列出来的用户
• 本地数据库中的简单用户
• 设置用户群组隶属关系的机制(LDAP 或本地)
• 可以通过复制 LDAP 用户名在本地设置用户群组成员(在 LDAP 配置中设置,并可在用户群组成员机制是 LDAP 时应用)
• 轮询频率
通过 NTLM,非域用户可以是登录到 PC 而未登录到域的用户,或是被提示输入用户名和密码但未输入域登录凭据的用户。在这两种情况下,NTLM 允许将其与域用户相区分。
如果用户名匹配防火墙上的本地用户帐户,则根据帐户密码在本地验证 NTLM 响应。如果验证成功,用户可以登录且被授予该帐户的相应权限。用户群组成员身份从本地帐户设置,而不是从 LDAP 设置,且将包含“受信任用户”群组的成员身份(因为密码在本地验证)。
如果用户名不匹配本地用户帐户,用户将不能登录。允许非域用户的有限访问选项不适用于通过 NTLM 验证的用户。
对于 NTLM 验证,浏览器或者使用域登录凭据(如用户登录到域)从而提供完整的单一登录功能,或者提示用户输入所访问网站的用户名和密码(本例中为防火墙)。不同的因素都会影响浏览器在用户登录到域时使用域登录凭据的能力。这些因素取决于所使用的浏览器的类型:
• Internet Explorer - Internet Explorer 使用用户的域登录凭据,并根据其“Internet 选项”中“安全”选项卡透明地验证登录到防火墙的网站是否位于本地内联网中。这需要在“Internet 选项”中将防火墙添加到本地内联网区域的网站列表中。
这可以通过“计算机配置”、“管理模板”、“Windows 组件”、Internet Explorer、“Internet 控制面板”、“安全页面”下“站点至区域分配列表”中的域群组策略完成。
• Google Chrome - Chrome 与 Internet Explorer 的行为方式相同,包括需要在“Internet 选项”中将防火墙添加到本地内联网区域的网站列表中。
• Firefox - Firefox 使用用户的域登录凭据,并透明地验证登录到防火墙的网站是否列在其配置的 network.automatic-ntlm-auth.trusted-uris 条目中(通过在 Firefox 地址栏输入 about:config 访问)。
• Safari - 虽然 Safari 支持 NTLM,但目前并不支持使用用户域登录凭据的全透明登录。
• 非 PC 平台上的浏览器 - Linux 和 Mac 等非 PC 平台可以通过 Samba 在 Windows 域中访问资源,但没有像 Windows PC 一样“将 PC 登录到域”的概念。因此,这些平台上的浏览器不能访问用户的域登录凭据,且无法将其用于 NTLM。
在用户未登录到域或浏览器不能使用其域登录凭据时,将提示输入用户名和密码,或者如果用户之前可能已保存,将使用缓存的登录凭据。
在上述各种情况中,如果使用用户的域登录凭据进行身份验证失败(这可能由于用于没有所需的访问权限),浏览器将提示用户输入用户名和密码。这允许用户输入不同于域登录凭据的其他凭据获得访问权限。
参见以下章节:
• 代理转发
• 非域用户
RFC 2866 指定使用 RADIUS 计费作为向计费服务器发送用户登录会话计费消息的网络访问服务器 (NAS) 机制。这些消息在用户登录和注销时发送。另外,也可以选择在用户会话期间定期发送。
当客户使用第三方网络访问设备执行用户验证(通常用于远程或无线访问)且设备支持 RADIUS 计费时,Dell SonicWALL 设备可以用作 RADIUS 计费服务器,可以使用客户的网络访问服务器发送的 RADIUS 计费消息进行网络中的单一登录 (SSO)。
在远程用户通过第三方设备连接时,第三方设备向 Dell SonicWALL 设备(配置为 RADIUS 计费服务器)发送计费消息。Dell SonicWALL 设备根据计费消息中的信息将用户添加到其内部登录用户数据库中。
在用户注销时,第三方设备向 Dell SonicWALL 设备发送另一条计费消息。然后,Dell SonicWALL 设备注销用户。
注 网络访问服务器 (NAS) 在发送 RADIUS 计费消息时,不要求用户经过 RADIUS 验证。即使在第三方设备使用 LDAP、内部数据库或任何其他机制验证用户时,NAS 也可以发送 RADIUS 计费消息。
RADIUS 计费消息未加密。RADIUS 计费具有防欺骗的内在安全性,因为使用请求验证器和共享密钥。RADIUS 计费需要在设备上配置可以发送 RADIUS 计费消息的网络访问服务器 (NAS) 列表。这项配置提供各 NAS 的 IP 地址和共享密钥。
RADIUS 计费使用两种计费消息:
• 计费请求
• 计费响应
计费请求可以发送状态类型属性指定的三种请求类型中的一种:
• 开始 - 在用户登录时发送。
• 停止 - 在用户注销时发送。
• 暂时更新 - 在用户登录会话期间定期发送。
遵循 RADIUS 标准的计费消息由 RFC 2866 指定。每个消息包含属性列表和由共享密钥验证的验证器。
与 SSO 相关的以下属性在计费请求中发送:
• 状态类型 - 计费请求的类型(开始、停止或暂时更新)。
• 用户名 - 用户的登录名称。格式并非由 RFC 指定,可以是简单的登录名称或包含登录名称、域或识别名 (DN) 等各种值的字符串。
• 成帧 IP 地址 - 用户的 IP 地址。如果使用了 NAT,这必须是用户的内部 IP 地址。
• 主叫站 ID - Aventail 等设备使用的用户 IP 地址的字符串表示。
• 代理状态 - 用于将请求转发至另一 RADIUS 计费服务器的通过状态。
为了使 Dell SonicWALL 设备与第三方网络设备兼容以通过 RADIUS 计费进行 SSO 登录,第三方设备必须能够:
• 支持 RADIUS 计费。
• 发送开始和停止消息。发送未作要求的暂时更新消息。
• 在开始和停止消息的成帧 IP 地址或主叫站 ID 属性中发送用户的 IP 地址。
注 如果远程访问服务器使用 NAT 转译用户的外部公开 IP 地址,则属性必须提供用于内部网络的内部 IP 地址,且必须是该用户的唯一 IP 地址。如果两个属性都被使用,则成帧 IP 地址属性必须使用内部 IP 地址,主叫站 ID属性应该使用外部 IP 地址。
应该在开始消息和暂时更新消息的用户名属性中发送用户的登录名称。可以在停止消息的用户名属性中发送用户的登录名称,但不是必须的。用户名属性必须包含用户的帐户名称,而且还可以包含域,或者必须包含用户的识别名 (DN)。
充当 RADIUS 计费服务器的 Dell SonicWALL 设备可以最多向每个网络访问服务器 (NAS) 的四个其他 RADIUS 计费服务器使用代理转发形式发送请求。可以为各 NAS 分别配置各 RADIUS 计费服务器。
为了避免需要为各 NAS 重新输入配置的详细信息,SonicOS 允许从配置的服务器的列表中为各 NAS 选择转发。
各 NAS 客户端的代理转发配置包括超时和重试次数。可以通过选择以下选项配置如何向两个或多个服务器的转发请求:
• 超时时尝试下一个服务器
• 转发每个请求至所有服务器
在以下情况中,向 RADIUS 计费服务器报告的用户被确定为本地(非域)用户:
• 未使用域发送用户名,且未配置为可通过 LDAP 查询服务器的域。
• 未使用域发送用户名,且配置为可通过 LDAP 查询服务器的域,但未找到用户名。
• 已使用域发送用户名,但在 LDAP 数据库中未找到域。
• 已使用域发送用户名,但在 LDAP 数据库中未找到用户名。
经过 RADIUS 计费验证的非域用户受到与使用其他 SSO 机制验证的用户相同的约束,且适用以下限制:
• 只有在设置了“允许非域用户的受限访问”时,用户才可以登录。
• 用户不会成为“受信任用户”群组的成员。
在 RADIUS 计费中,使用这些包含用户的 IPv6 地址:
• Framed-Interface-Id / Framed-IPv6-Prefix
• Framed-IPv6-Address
目前,所有这些 IPv6 属性都被忽略。
有些设备在主叫站 ID属性中以文本形式传递 IPv6 地址。
如果其中不包含有效的 IPv4 地址,则主叫站 ID 也被忽略。
包含 IPv6 地址属性,但不包含 IPv4 地址属性的 RADIUS 计费消息被转发至代理服务器。如果未配置代理服务器,则 IPv6 属性被丢弃。
RADIUS 计费通常使用 UDP 端口 1646 或 1813。UDP 端口 1813 是 IANA 指定的端口。UDP 端口 1646 是旧的非官方标准端口。Dell SonicWALL 设备默认监听端口 1812。可以为 RADIUS 计费端口配置其他端口编号,但设备只能监听一个端口。所以,如果您使用多个网络访问服务器 (NAS),必须将其配置为都能在相同的端口编号上通信。
本章节介绍多管理员支持功能。本章节包含以下子节:
• 优点
初始版本的 SonicOS 仅支持具有完全管理权限的一个管理员登录防火墙。附加用户可被授予“有限管理员”访问权限,但一次只能有一个管理员具有修改 SonicOS GUI 的所有区域的完全权限。
SonicOS 支持多个并行管理员。该功能允许具有完全管理权限的多个用户登录。除了使用默认的 admin 用户名,可以创建附加的管理员用户名。
由于多个管理员同时进行配置更改可能存在冲突,只允许一个管理员进行配置更改。附加管理员被授予对 GUI 的完全权限,但不能进行配置更改。
多管理员支持具有以下优点:
• 提高了工作效率 - 同时允许多个管理员访问防火墙消除了“自动注销”的现象,这种情况发生在两个管理员同时要求访问设备时,其中一个被强制注销系统。
• 降低了配置风险 - 新的只读模式允许用户查看防火墙的当前配置和状态,而没有无意更改配置的风险。
以下章节介绍多管理员支持功能的工作方式:
• 配置模式
• 用户群组
为了允许多个并行管理员,且防止发生多个管理员同时进行配置更改的潜在冲突,定义了以下配置模式:
• 配置模式 - 管理员具有编辑配置的完全权限。如果没有管理员已登录到设备,这是具有完全和有限管理员权限的管理员(但非只读管理员)的默认行为。
注 具有完全配置权限的管理员也可以使用命令行接口 (CLI) 登录。
• 只读模式 - 管理员不能对配置作任何更改,但可以查看整个管理 UI 和执行监控操作。
只有属于 SonicWALL 只读管理员用户群组的管理员才被授予只读访问权限,这是他们可以访问的唯一配置模式。
• 非配置模式 - 管理员可以查看与只读群组成员能查看的相同信息,他们还可以启动不可能导致配置冲突的管理操作。
只有属于 SonicWALL 管理员用户群组的管理员可以访问非配置模式。在另一名管理员已处于配置模式,且新管理员选择不抢占已有管理员时,可以进入这种模式。默认情况下,当管理员被抢占退出配置模式,他或她会被转入非配置模式。在系统 > 管理页面,可以修改这种行为使先前的管理员被注销。
下表提供配置模式可获得的访问权限的摘要。还列出了有限管理员的访问权限,但注意本表格并不包含有限管理员可用的所有功能。
|
多管理员支持功能支持两个新的默认用户群组:
• SonicWALL 管理员 - 该群组的成员具有编辑配置的完全管理员权限。
• SonicWALL 只读管理员 - 该群组的成员具有查看完整管理界面的只读权限,但不能编辑配置,且不能切换到完全配置模式。
不建议将用户包含在多个用户群组中。但是如果您这样做,则遵循以下行为方式:
• 如果 SonicWALL 管理员用户群组的成员也属于有限管理员或 SonicWALL 只读管理员用户群组,则成员将具有完全管理员权限。
• 如果有限管理员用户群组的成员也属于 SonicWALL 只读管理员用户群组,则成员将具有有限管理员权限。
以下规则用于控制各类别管理员对已登录设备的管理员进行抢占的优先级:
1. admin 用户和 SonicWALL 全局管理系统 (GMS) 都具有最高优先级,且可以抢占任何用户。
2. 属于 SonicWALL 管理员用户群组的用户可以抢占任何用户,admin 和 SonicWALL GMS 除外。
3. 属于有限管理员用户群组的用户只能抢占有限管理员群组中的其他成员。
在使用 SonicWALL GMS 管理防火墙时,GMS 频繁登录设备(用于确保已正确创建 GMS 管理 IPSec 隧道等活动)。这些频繁的 GMS 登录可能有碍设备的本地管理,因为本地管理员可能被 GMS 抢占。