Après avoir sélectionné votre méthode d'authentification dans la colonne de gauche, vous
pouvez saisir ses informations dans la colonne de droite, qui présente les éléments suivants :
Nom de domaine
(FQDN)
Accès au serveur
Serveur
Port
Serveur de secours
Serveur
Port
Authentification transparente (SPNEGO)
La méthode SPNEGO permet le fonctionnement du "Single Sign On" pour l'authentification Web
avec un serveur d'authentification externe Kerberos. Cela signifie qu'un utilisateur se connectant
à son domaine par une solution basée sur un serveur Kerberos serait automatiquement
authentifié sur un firewall Stormshield Network dans le cas d'un accès à l'Internet (nécessitant
une authentification dans la politique de filtrage sur le firewall) grâce à un navigateur Web
(Internet Explorer, Firefox, Mozilla).
Pour mettre en œuvre cette méthode, vous devez au préalable exécuter le script de génération de
KEYTAB spnego.bat sur le contrôleur de domaine. Ce script est disponible depuis votre Espace
privé, rubrique Base de Connaissance – en version Anglaise EN - (article "Where can I find the
last version of the ''spnego.bat'' script?").
Les paramètres demandés lors de l'exécution du script sont sensibles à la casse et doivent
être scrupuleusement respectés car ils ne pourront être modifiés par la suite. En cas
d'erreur, il faudra restaurer une sauvegarde du contrôleur de domaine re-procéder à
l'installation.
Dans le cas d'un firewall non configuré en haute disponibilité, il est recommandé d'indiquer le
numéro de série du firewall plutôt que son nom pour l'identifier (Ce nom correspond au nom
indiqué dans le script Stormshield Network livré avec le matériel d'installation). Le Nom du service
sera le numéro de série précédé de la mention « HTTP/ ». Exemple : HTTP/U70XXAZ0000000
Dans le cas d'un firewall en haute disponibilité, l'identifiant devant être commun, il est
recommandé d'utiliser le nom du certificat du portail d'authentification (CN) renseigné dans
l'onglet Portail captif du module Authentification.
La configuration de SPNEGO sur le firewall est réalisée grâce aux options expliquées dans le
tableau suivant :
Page 67/464
Nom de domaine attribué au serveur pour la méthode d'authentification Kerberos. La
définition de ce nom de domaine permet de masquer l'adresse IP du serveur et d'en
simplifier la recherche.
www.compagnie.com
Exemple :
lisible son adresse IP correspondante : 91.212.116.100.
Adresse IP du serveur pour la méthode d'authentification Kerberos ( Active Directory
par exemple)
Port utilisé par le serveur. Par défaut, le port 88/UDP nommé Kerberos_udp est
sélectionné.
Adresse IP de rechange du serveur Active Directory pour la méthode d'authentification
Kerberos.
Port utilisé par le serveur de secours, si le serveur n'est plus accessible. Par défaut, le
port 88/UDP nommé Kerberos_udp est sélectionné.
REMARQUE
SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3
: compagnie.com représente le nom de domaine, plus
sns-fr-manuel_d'utilisation_et_de_configuration-v3.10.1 - 29/05/2020
AUTHENTIFICATION