Publicité
l'Internet (nécessitant une authentification dans la politique de filtrage sur le firewall) grâce à
un navigateur Web (Microsoft Edge, Firefox, Mozilla).
Pour mettre en œuvre cette méthode, vous devez au préalable exécuter le script de génération
de KEYTAB spnego.bat sur le contrôleur de domaine. Ce script est disponible dans l'espace
personnel
Téléchargements > Stormshield Network Security > TOOLS.
REMARQUE
Les paramètres demandés lors de l'exécution du script sont sensibles à la casse et doivent être
scrupuleusement respectés car ils ne pourront être modifiés par la suite. En cas d'erreur, il
faudra restaurer une sauvegarde du contrôleur de domaine re-procéder à l'installation.
Dans le cas d'un firewall non configuré en haute disponibilité, il est recommandé d'indiquer le
numéro de série du firewall plutôt que son nom pour l'identifier (Ce nom correspond au nom
indiqué dans le script Stormshield Network livré avec le matériel d'installation). Le Nom du
service sera le numéro de série précédé de la mention « HTTP/ ». Exemple :
HTTP/U70XXAZ0000000
Dans le cas d'un firewall en haute disponibilité, l'identifiant devant être commun, il est
recommandé d'utiliser le nom du certificat du portail d'authentification (CN) renseigné dans
l'onglet Portail captif du module Authentification.
La configuration de SPNEGO sur le firewall est réalisée grâce aux options expliquées dans le
tableau suivant :
Nom du service
Nom de domaine
KEYTAB
9.1.8 Agent SSO
L'Authentification Unique ou Single Sign-On (SSO) permet à un utilisateur de ne procéder qu'à
une seule authentification pour accéder à plusieurs services.
La méthode Agent SSO requiert l'installation de l'application Stormshield Network SSO Agent,
service Windows permettant aux Firewalls Stormshield Network de bénéficier de
l'authentification sur l'annuaire Windows Active Directory de manière transparente. Pour
l'installation de cette application, reportez-vous à la note technique Stormshield Network SSO
Agent - Installation et déploiement.
Lorsqu'un utilisateur se connecte au domaine Windows par l'ouverture de sa session, celui-ci
est automatiquement authentifié sur le Firewall. Le principe est le suivant : l'Agent SSO collecte
l'information de l'identification d'un utilisateur sur le domaine en se connectant à distance sur
l'observateur d'événements du contrôleur de domaine. L'Agent SSO relaie ensuite ces
informations au Firewall par une connexion SSL, qui met à jour sa table des utilisateurs
authentifiés.
Depuis la version 3 de firmware, il est possible de déclarer jusqu'à 5 agents SSO, permettant
ainsi de gérer l'authentification sur 5 domaines Windows Active Directory dépourvus de relation
d'approbation. Ces domaines devront préalablement être déclarés en tant qu'annuaires LDAP
Page 57/524
MyStormshield
(authentification requise), menu Téléchargements >
Ce champ représente le nom du service Kerberos utilisé par le firewall, obtenu après
exécution du script spnego.bat
Nom de domaine du serveur Kerberos. Il correspond au nom complet du domaine
Active Directory et doit être écrit en majuscules.
Ce champ représente le secret partagé, généré lors de l'utilisation du script sur
l'Active Directory. Ce secret doit être fourni au firewall afin qu'il puisse communiquer
avec l'Active Directory. Il est également fourni par le script spnego.bat
SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4
sns-fr-manuel_d'utilisation_et_de_configuration-v4.6.4 - 11/04/2023
9. AUTHENTIFICATION
Publicité
