本章节介绍 Dell SonicWALL 网络安全设备对本地和远程验证用户的用户管理功能。
|
•
|
|
•
|
SonicOS 还提供单点登录 (SSO) 功能。SSO 可以结合 LDAP 使用。
图 52. 用户管理拓扑
|
•
|
|
•
|
防火墙上的本地数据库支持的用户数因Table 148 显示的平台而不同。最大的整体用户限制等于 SSO 用户的最大值,本土用户的最大值等于 SSO 用户的最大值。Web 用户的最大值是从 web 和 GVC、SSL-VP 和 L2TP 客户端登录的联合用户的最大值。
图 53. 用户管理:使用本地用户和群组进行验证
要对用户应用内容过滤服务 (CFS) 策略,用户必须是本地群组的成员,且向群组应用了 CFS 策略。要使用 CFS,您不能使用 LDAP 或 RADIUS,除非将这种方法与本地身份验证组合使用。在使用组合的身份验证方法以运用 CFS 策略时,本地群组的名称必须精确匹配 LDAP 或 RADIUS 群组的名称。在使用 LDAP + 本地用户验证方法时,您可以将 LDAP 服务器中的群组导入到防火墙上的本地数据库。这极大简化了将应用 CFS 策略的匹配群组的创建。
SonicOS 用户界面提供创建本地用户和群组帐户的途径。您可以添加用户和编辑任何用户的配置,包括以下设置:
|
•
|
|
•
|
VPN 访问 - 您可以配置该用户可以通过 VPN 客户端发起访问的网络。在配置 VPN 访问设置时,您可以从网络列表中选择。网络由其地址组或地址对象名称指定。
|
|
•
|
群组设置 - 对于管理员群组,您可以配置 SonicOS 以允许在未激活登录状态弹出窗口时登录到管理界面。
|
|
•
|
群组成员 - 群组成员可以是本地用户或其他本地群组。
|
|
•
|
VPN 访问 - 群组 VPN 访问的配置方式与用户的 VPN 访问相同。您可以配置该群组成员可以通过 VPN 客户端发起访问的网络。在配置 VPN 访问设置时,您可以从网络列表中选择。网络由其地址组或地址对象名称指定。
|
|
•
|
CFS 策略 - 您可以对群组成员应用内容过滤 (CFS) 策略。只有在防火墙当前获得专业版内容过滤服务许可时,才可以使用 CFS 策略设置。
|
图 54. 用户管理:使用 RADIUS 进行身份验证
Microsoft Active Directory 还适用 Dell SonicWALL 单点登录和 Dell SonicWALL SSO 代理。更多信息,请参见单点登录概述 。
|
•
|
|
•
|
方案 – 方案是定义目录中可存储的数据类型以及如何存储这些数据的一组规则或结构。数据以条目形式存储。
|
|
•
|
Active Directory (AD) – 通常结合基于 Windows 的网络使用的 Microsoft 目录服务。Microsoft Active Directory 与 LDAP 兼容。
|
|
•
|
eDirectory – 用于基于 Novell NetWare 的网络的 Novell 目录服务。Novell eDirectory 有可用于管理的 LDAP 网关。
|
|
•
|
|
•
|
Microsoft Active Directory 的类可在 http://msdn.microsoft.com/library/ 浏览。
|
•
|
对象 - 在 LDAP 术语中,目录中的条目被称为对象。在 LDAP 客户端的 SonicOS 实施中,关键的对象是“用户”和“群组”对象。LDAP 的不同实施可以使用不同形式指代这些对象类别,例如,Active Directory 指代将用户对象称为用户,将群组对象称为群组,而 RFC2798 将用户对象称为inetOrgPerson,将群组对象称为groupOfNames。
|
|
•
|
|
•
|
dn - “识别名”,是用户或其他对象的全局唯一名称。这由多个组件组成,通常以常用名 (cn) 组件开头,以指定为两个或多个域组件 (dc) 的域结尾。例如‘cn=john,cn=users,dc=domain,dc=com’
|
|
•
|
cn –“常用名”属性是 LDAP 中很多对象类别的必需组件。
|
|
•
|
ou –“组织单位”属性是大多数 LDAP 方案实施的必需组件。
|
|
•
|
dc –“域组件”属性通常存在于识别名的根中,且通常是必需属性。
|
|
•
|
TLS – 传输层安全性是 IETF 标准化版本的 SSL(安全套接字层)。支持 TLS 1.1 和 1.2。
|
为了集成公司网络中使用的最常见目录服务,SonicOS 支持集成以下 LDAP 方案:
|
•
|
复制到安全设备的 LDAP 用户群组名称包括以下格式的域名:name@domain.com。这可以确保来自不同域的用户群组名称唯一。
|
•
|
如果 LDAP 用户群组的 VPN、SSL VPN、CFS 策略和 ISP 策略等设置在防火墙 > 访问规则或防火墙 > 应用规则等配置页面上可配置,您可以在 SonicWALL 安全设备上配置这些设置。
|
|
•
|
集成防火墙与 LDAP 目录服务需要配置 LDAP 服务器以进行证书管理,在防火墙上安装正确的证书和配置防火墙以使用来自 LDAP 服务器的信息。如需 LDAP 的简介,请参见使用 LDAP/Active Directory/eDirectory 验证 。
在开始 LDAP 配置之前,您应该准备 LDAP 服务器和 SonicWALL 以获得 LDAP over TLS 支持。这需要:
以下过程介绍如何在 Active Directory 环境执行这些任务。
|
1
|
转至开始 > 设置 > 控制面板 > 添加/移除程序
|
|
2
|
选择添加/移除 Windows 组件
|
|
3
|
选择证书服务
|
|
4
|
提示时选择企业根 CA。
|
|
6
|
|
7
|
打开安全设置 > 公钥策略。
|
|
8
|
右击自动证书请求设置。
|
|
9
|
选择新建 > 自动证书请求。
|
|
10
|
在向导中逐步前进,然后从列表中选择域控制器。
|
|
1
|
|
2
|
|
3
|
|
4
|
|
5
|
在向导中逐步前进,然后 Base-64 编码 X.509 (.cer) 格式。
|
|
1
|
转至系统 > CA 证书。
|
|
2
|
选择添加新 CA 证书。浏览并选择您刚导出的证书文件。
|
|
3
|
单击导入证书按钮。
|
“按组织单位的 LDAP 群组成员”功能用于在 LDAP 服务器上为某些组织单位 (OU) 中的用户设置 LDAP 规则和策略。
用户登录时,如果用户群组被设为按 LDAP 位置赋予成员身份,则用户成为匹配其 LDAP 位置的所有群组的成员。
您可以将任何本地群组设为成员按其在 LDAP 目录树中位置进行设置的群组,包括默认本地群组(所有人群组和受信任用户群组除外)。
当用户尝试登录时,不管成功与否,用户的识别名都会被记录在事件日志中。如果用户未能获得期望的群组成员身份,日志将有助于故障排除。
|
•
|
|
•
|
|
•
|
单点登录 (SSO) 是提供对多个网络资源的特许访问的透明用户验证机制,其中,通过单一域登录工作站或通过 Windows 终端服务或 Citrix服务器。
SonicWALL SSO 在 SonicOS 管理界面的用户> 设置页面配置。SSO 独立于登录的身份验证方法设置,后者可同时用于 VPN/L2TP 客户端用户或管理用户的身份验证。
配置的不活动时间计时器适用于 SSO,但会话限制不适用,不过,注销的用户在再次发送流量时会自动而明确地重新登录。
被识别但缺少群组成员身份的用户会被配置的策略规则重定向至“阻止访问”页面。
SonicWALL SSO 是根据管理员配置的群组成员身份和策略匹配情况利用单点登录提供对多个网络资源访问权限的可靠而省时的功能。SonicWALL SSO 对最终用户透明,且需要最少的管理员配置。
SonicWALL SSO 可用于使用用户级别身份验证的防火墙的任何服务,包括内容过滤服务 (CFS)、防火墙访问规则、群组成员身份和继承以及安全服务(IPS、GAV 和防间谍软件)包含/排除列表。
|
•
|
易于使用 - 用户只需要登录一次,即可获得多个资源的自动访问权限。
|
|
•
|
改善的用户体验 - Windows 域凭据可用于对任何流量类型验证用户身份,而无需使用 Web 浏览器登录设备。
|
|
•
|
为用户提供透明性 - 用户无需重新输入用户名和密码进行身份验证。
|
|
•
|
安全通信 - 共享密钥加密提供数据传输保护。
|
|
•
|
多个 SSO 代理 - 最多支持 8 个代理以提高安装容量
|
|
•
|
多个 TSA - 支持多个终端服务代理(每个终端服务器一个)。数目取决于 Dell SonicWALL 网络安全设备的型号,范围从 8 至 512。
|
|
•
|
浏览器 NTLM 验证 - SonicWALL SSO 可以验证发送 HTTP 流量的用户身份,而无需使用 SSO 代理。
|
|
•
|
Mac 和 Linux 支持 - 如使用 Samba 3.5 及更高版本,SonicWALL SSO 支持 Mac 和 Linux 用户。
|
|
•
|
按区域实施 - 如果在事件日志或 AppFlow 监控中进行用户识别,即使防火墙访问规则或安全服务策略未自动启动,也可以为来自任何区域的流量触发 SonicWALL SSO。
|
SSO 代理与支持 SonicWALL SSO 的所有 SonicOS 版本兼容。TSA 受支持。
要结合使用 SonicWALL SSO 与 Windows 终端服务或 Citrix,必须安装 SonicOS 6.0 或更高版本,且必须在服务器上安装 SonicWALL TSA。
要结合使用 SonicWALL SSO 和浏览器 NTLM 验证,必须安装 SonicOS 6.0 或更高版本。浏览器 NTLM 验证不需要 SSO 代理。
SonicWALL SSO 需要最低管理员配置且对用户透明。
SSO 用户表格也用于安全服务需要的用户和群组识别,这些安全服务包括内容过滤、入侵保护、防间谍软件和应用程序控制。
对于单个 Windows 工作站上的用户,SSO 工作站上的 SSO 代理处理来自防火墙的身份验证请求。使用 SSO 代理的 SonicWALL SSO 身份验证有六个步骤,如下图所示。
运行 SSO 代理的身份验证代理为防火墙提供当前登录到工作站的用户名。将为登录的用户创建用户 IP 表条目,类似于 RADIUS 和 LDAP。
对于从终端服务或 Citrix 服务器登录的用户,TSA 在身份验证过程中取代 SSO 代理。过程有以下几点不同:
找到域对象后,信息即被保存,以避免搜索相同对象。如果尝试在保存的域中查找用户失败,则保存的域信息将被删除,将进行另一次域对象搜索。
NTLM 验证目前支持 HTTP,但不适用于 HTTPS 流量。
在 SSO 代理尝试获取用户信息前后,可以尝试浏览器 NTLM 验证。例如,如果先尝试 SSO 代理但未能识别用户,且流量是 HTTP,就会尝试 NTLM。
要对 Linux 或 Mac 客户端以及 Windows 客户端使用这种方法,您还可以启用 SSO 探测客户端的 NetAPI 或 WMI,这取决于 SSO 代理的具体配置。这会导致防火墙在请求 SSO 代理识别用户之前,探测 NetAPI/WMI 端口上的响应。如果没有响应,这些设备的 SSO 立即失败。对于:
在用户使用 HTTP 浏览前,NTLM 无法识别用户,所以此前的所有流量将被视为未识别。将应用默认的 CFS 策略,要求经验证用户的任何规则都不会让流量通过。
如果配置为 NTLM 在 SSO 代理之前使用,则如果先收到 HTTP 流量,将使用 NLM 验证用户。如果先收到非 HTTP 流量,将使用 SSO 代理进行身份验证。
SSO 代理必须安装在 Windows 域可使用 IP 地址或使用 VPN 等路径直接与客户端和防火墙通信的工作站上。如需 SSO 代理的安装说明,请参阅安装 SonicWALL SSO 代理 。
支持多 SSO 代理以容纳有数千用户的大型安装。您最多可以配置八个 SSO 代理,分别都在您网络中的专用、高性能 PC 上运行。注意,快速 PC 上的一个 SSO 代理最多可以支持 2500 名用户。
SSO 代理仅与客户端和防火墙通信。SSO 代理使用共享密钥加密 SSO 代理和防火墙之间的消息。
防火墙通过默认的端口 2258 查询 SSO 代理。然后,SSO 代理在客户端和防火墙之间通信以确定客户端的用户 ID。防火墙以管理员配置的频率轮询 SSO 代理以持续确认用户的登录状态。
SSO 代理根据管理员选择的记录级别向 Windows 事件日志发送日志事件消息。
防火墙还在其事件日志中记录 SSO 代理特定的事件。以下是来自防火墙的 SSO 代理特定日志事件消息的列表:
|
•
|
用户登录被拒绝 - 策略规则不允许 – 用户被识别,且不属于阻止用户流量的策略所允许的任何用户群组。
|
|
•
|
用户登录被拒绝 - 在本地未找到 – 用户在本地未被找到,且防火墙选中了仅允许本地列出的用户。
|
|
•
|
用户登录被拒绝 - SSO 代理超时 – 尝试联系 SSO 代理已超时。
|
|
•
|
用户登录被拒绝 - SSO 代理配置错误 – SSO 代理未正确配置,无法允许该用户访问。
|
|
•
|
用户登录被拒绝 - SSO 代理通信问题 – 与运行 SSO 代理的工作站的通信发生问题。
|
|
•
|
用户登录被拒绝 - SSO 代理的代理名称解析失败 – SSO 代理无法解析用户名。
|
|
•
|
SSO 代理返回的用户名太长 – 用户名太长。
|
|
•
|
SSO 代理返回的域名太长 – 域名太长。
|
TSA 可以安装在已安装终端服务或 Citrix 的任意 Windows 服务器上。服务器必须属于可使用 IP 地址或使用 VPN 等路径直接与防火墙通信的 Windows 域。
如需 TSA 的安装说明,请参阅安装 SonicWALL 终端服务代理 。
|
•
|
|
•
|
要容纳包含数千用户的大型安装,防火墙可配置为使用多个终端服务代理运行(每个终端服务器一个)。支持的代理数取决于型号,如Table 149所示。
对于 Dell SonicWALL 网络安全设备,每个终端服务器最多可支持 32 个 IP 地址,服务器有多个NIC (网络接口控制器)。每个终端服务器都没有用户限制。
如果 TSA 和防火墙之间的消息包含用户名和域,TSA 使用共享密钥进行加密。用户的首个开放通知始终被加密,因为 TSA 包含用户名和域。
TSA 在所有通知中都包含用户会话 ID,而不是每次都包含用户名和域。这既高效又安全,且允许 TSA 在代理重启后与终端服务用户重新同步。
防火墙有允许非域用户的有限访问设置用于选择性向非域用户(登录到本地机器而非域的用户)授予有限访问权限和,这与其他 SSO 用户一样适用于终端服务用户。
如果您的网络包含非 Windows 设备或运行了个人防火墙的 Windows 计算机,请选中探测用户复选框,并选中 NetAPI 或 WMI 的单选按钮,这取决于 SSO 代理的具体配置。这会导致防火墙在请求 SSO 代理识别用户之前,探测 NetAPI/WMI 端口上的响应。如果没有响应,这些设备的 SSO 立即失败。此类设备不响应或可能阻止 SSO 代理用于识别用户的 Windows 联网消息。
非用户连接从终端服务器打开,用于获取 Windows 更新和防病毒更新。TSA 可以识别来自登录的服务的连接是非用户连接,并在发送给设备的通知中加以标识。
要控制这些非用户连接的处理,设备的 TSA 配置上有允许终端服务器的非用户流量绕过访问规则中的用户验证复选框。如选中,这些连接就被允许。如果未选中此复选框,服务被视为本地用户,可以通过选中允许非域用户的有限访问设置和在有相应服务名称的设备上创建用户帐户向其授予访问权限。
对于域用户,NTLM 响应通过 RADIUS 中的 MSCHAP 机制进行验证。必须在设备上启用 RADIUS。
在配置 NTLM 验证时,将应用 SSO 配置的用户选项卡中的以下设置:
|
•
|
可以通过复制 LDAP 用户名在本地设置用户群组成员(在 LDAP 配置中设置,并可在用户群组成员机制是 LDAP 时应用)
|
|
•
|
通过 NTLM,非域用户可以是登录到 PC 而未登录到域的用户,或是被提示输入用户名和密码但未输入域登录凭据的用户。在这两种情况下,NTLM 允许将其与域用户相区分。
如果用户名不匹配本地用户帐户,用户将不能登录。允许非域用户的有限访问选项不适用于通过 NTLM 验证的用户。
|
•
|
Internet Explorer(9.0 或更高版本)– 使用用户的域登录凭据,并根据其“Internet 选项”中“安全”选项卡透明地验证登录到 Dell SonicWALL 设备的网站是否位于本地内联网中。这需要在“Internet 选项”中将防火墙添加到本地内联网区域的网站列表中。
|
这可以通过“计算机配置”、“管理模板”、“Windows 组件”、Internet Explorer、“Internet 控制面板”、“安全页面”下“站点至区域分配列表”中的域群组策略完成。
|
•
|
Google Chrome – Chrome 与 Internet Explorer 的行为方式相同,包括需要在“Internet 选项”中将防火墙添加到本地内联网区域的网站列表中。
|
|
•
|
Firefox – 使用用户的域登录凭据,并透明地验证登录到防火墙的网站是否列在其配置的
network.automatic-ntlm-auth.trusted-uris 条目中(通过在 Firefox 地址栏输入 about:config 访问)。 |
|
•
|
Safari – 虽然 Safari 支持 NTLM,但目前并不支持使用用户域登录凭据的全透明登录。
|
|
•
|
非 PC 平台上的浏览器 – Linux 和 Mac 等非 PC 平台可以通过 Samba 在 Windows 域中访问资源,但没有像 Windows PC 一样“将 PC 登录到域”的概念。因此,这些平台上的浏览器不能访问用户的域登录凭据,且无法将其用于 NTLM。
|
在用户未登录到域或浏览器不能使用其域登录凭据时,将提示输入用户名和密码,或者如果用户之前可能已保存,将使用缓存的登录凭据。
在上述各种情况中,如果使用用户的域登录凭据进行身份验证失败(这可能由于用于没有所需的访问权限),浏览器将提示用户输入用户名和密码。这允许用户输入不同于域登录凭据的其他凭据获得访问权限。
|
注:当单点登录加强启用 NTLM,必须防火墙 > 访问规则页面的 LAN 到 WAN 规则添加 HTTP/HTTPS 访问规则,该规则将可信用户列为允许的用户。此规则向用户触发 NTLM 验证请求。如果未添加此访问规则,严格的内容过滤器策略等其他配置将阻塞用户的 Internet 访问并禁止验证请求。
|
RFC 2866 指定使用 RADIUS 计费作为向计费服务器发送用户登录会话计费消息的网络访问服务器 (NAS) 机制。这些消息在用户登录和注销时发送。另外,也可以选择在用户会话期间定期发送。
在用户注销时,第三方设备向 Dell SonicWALL 设备发送另一条计费消息。然后,Dell SonicWALL 设备注销用户。
|
•
|
|
•
|
|
•
|
|
•
|
|
•
|
计费请求可以发送状态类型属性指定的三种请求类型中的一种:
|
•
|
开始 - 在用户登录时发送。
|
|
•
|
停止 - 在用户注销时发送。
|
|
•
|
暂时更新 - 在用户登录会话期间定期发送。
|
遵循 RADIUS 标准的计费消息由 RFC 2866 指定。每个消息包含属性列表和由共享密钥验证的验证器。
与 SSO 相关的以下属性在计费请求中发送:
|
•
|
|
•
|
用户名 - 用户的登录名称。格式并非由 RFC 指定,可以是简单的登录名称或包含登录名称、域或识别名 (DN) 等各种值的字符串。
|
|
•
|
成帧 IP 地址 - 用户的 IP 地址。如果使用了 NAT,这必须是用户的内部 IP 地址。
|
|
•
|
主叫站 ID - Aventail 等设备使用的用户 IP 地址的字符串表示。
|
|
•
|
代理状态 - 用于将请求转发至另一 RADIUS 计费服务器的通过状态。
|
为了使 Dell SonicWALL 设备与第三方网络设备兼容以通过 RADIUS 计费进行 SSO 登录,第三方设备必须能够:
|
•
|
|
•
|
|
注:如果远程访问服务器使用 NAT 转译用户的外部公开 IP 地址,则属性必须提供用于内部网络的内部 IP 地址,且必须是该用户的唯一 IP 地址。如果两个属性都被使用,则成帧 IP 地址属性必须使用内部 IP 地址,主叫站 ID属性应该使用外部 IP 地址。
|
应该在开始消息和暂时更新消息的用户名属性中发送用户的登录名称。可以在停止消息的用户名属性中发送用户的登录名称,但不是必须的。用户名属性必须包含用户的帐户名称,而且还可以包含域,或者必须包含用户的识别名 (DN)。
为了避免需要为各 NAS 重新输入配置的详细信息,SonicOS 允许从配置的服务器的列表中为各 NAS 选择转发。
各 NAS 客户端的代理转发配置包括超时和重试次数。可以通过选择以下选项配置如何向两个或多个服务器的转发请求:
在以下情况中,向 RADIUS 计费服务器报告的用户被确定为本地(非域)用户:
经过 RADIUS 计费验证的非域用户受到与使用其他 SSO 机制验证的用户相同的约束,且适用以下限制:
在 RADIUS 计费中,使用这些包含用户的 IPv6 地址:
有些设备在主叫站 ID属性中以文本形式传递 IPv6 地址。
如果其中不包含有效的 IPv4 地址,则主叫站 ID 也被忽略。
包含 IPv6 地址属性,但不包含 IPv4 地址属性的 RADIUS 计费消息被转发至代理服务器。如果未配置代理服务器,则 IPv6 属性被丢弃。
|
•
|
初始版本的 SonicOS 仅支持有完全管理权限的一个管理员登录防火墙。附加用户可被授予“有限管理员”访问权限,但一次只能有一个管理员有修改 SonicOS GUI 的所有区域的完全权限。
SonicOS 支持多个并行管理员。该功能允许有完全管理权限的多个用户登录。除了使用默认的 admin 用户名,可以创建附加的管理员用户名。
由于多个管理员同时进行配置更改可能存在冲突,只允许一个管理员进行配置更改。附加管理员被授予对 GUI 的完全权限,但不能进行配置更改。
|
•
|
提高了工作效率 - 同时允许多个管理员访问防火墙,之前当两个管理员同时要访问设备时,其中一个会被强制注销。
|
|
•
|
降低了配置风险 – 新的只读模式允许用户查看防火墙的当前配置和状态,而没有无意更改配置的风险。
|
|
•
|
|
•
|
|
•
|
为了允许多个并行管理员,且防止发生多个管理员同时进行配置更改的潜在冲突,定义了以下配置模式:
|
•
|
配置模式 - 管理员有编辑配置的完全权限。如果没有管理员已登录到设备,这是有完全和有限管理员权限的管理员(但非只读管理员)的默认行为。
|
|
•
|
只读模式 - 管理员不能对配置作任何更改,但可以查看整个管理 UI 和执行监控操作。
|
只有属于 SonicWALL 只读管理员用户群组的管理员才被授予只读访问权限,这是他们可以访问的唯一配置模式。
|
•
|
非配置模式 - 管理员可以查看与只读群组成员能查看的相同信息,他们还可以启动不可能导致配置冲突的管理操作。
|
只有属于 SonicWALL 管理员用户群组的管理员可以访问非配置模式。在另一名管理员已处于配置模式,且新管理员选择不抢占已有管理员时,可以进入这种模式。默认情况下,当管理员被抢占退出配置模式,他或她会被转入非配置模式。在系统 > 管理页面,可以修改这种行为使先前的管理员被注销。
下表提供配置模式可获得的访问权限的摘要。还列出了有限管理员的访问权限,但注意本表格并不包含有限管理员可用的所有功能。
|
•
|
SonicWALL 管理员 - 该群组的成员有编辑配置的完全管理员权限。
|
|
•
|
SonicWALL 只读管理员 - 该群组的成员有查看完整管理界面的只读权限,但不能编辑配置,且不能切换到完全配置模式。
|
不推荐将用户包含在多个用户群组中。但是如果您这样做,则遵循以下行为方式:
|
•
|
|
•
|
以下规则用于控制各类别管理员对已登录设备的管理员进行抢占的优先级:
|
1
|
admin 用户和 SonicWALL 全局管理系统 (GMS) 都有最高优先级,且可以抢占任何用户。
|
|
2
|
|
3
|
