Sophos NGFW Cấu hình xác định người dùng bằng Captive Portal (user được tạo local trên NGFW và thông qua tích hợp với AD

Thanh Phương

Thanh Phương

Intern

Phần 1: Tạo User Local trên Sophos XG

Chúng ta sẽ tạo một tài khoản cục bộ để test song song với tài khoản AD.
Tham khảo cách tạo user local tại đây
Mình sẽ tạo user local có username như hình với group là local_group
1782604044258.png





Phần 2: Cấu hình thứ tự ưu tiên máy chủ xác thực

Lưu ý, bạn phải cấu hình tích hợp AD trước, tham khảo tại đây
Mình đã tạo 2 user trên AD
1782604132988.png




Bạn cần đảm bảo Firewall biết phải tìm thông tin đăng nhập của người dùng ở đâu (AD hay Local) và tìm cái nào trước.
1782603589481.png

  1. Chuyển sang tab Services (menu Authentication).
  2. Tìm đến mục Firewall authentication methods (Phương thức xác thực cho tường lửa).
  3. Đảm bảo rằng cả Server AD của bạn và Local đều được tích chọn.
  4. Sắp xếp thứ tự ưu tiên: Hệ thống sẽ kiểm tra danh tính từ trên xuống dưới. Bạn có thể để AD ở vị trí số 2 và Local ở vị trí số 1 (kéo thả). Nếu user nhập tài khoản, Firewall sẽ hỏi AD trước, nếu AD không có, nó sẽ hỏi tiếp database Local.
  5. Nhấn Apply.



Phần 3: Đảm bảo Captive Portal đã bật cho mạng LAN

1782603627815.png

  1. Điều hướng đến Administration > Device access.
  2. Tại hàng của Zone LAN, đảm bảo ô vuông ở cột Captive portal ĐÃ được tích chọn.
  3. Nhấn Apply.




Phần 4: Cấu hình Firewall Rule bắt buộc xác thực

Đây là bước quyết định để captive luồng truy cập và ép người dùng phải đăng nhập.
1782603673578.png

Điều hướng đến Rules and policies > Firewall rules.
  1. Mở Rule LAN to WAN của bạn lên để chỉnh sửa.
  2. Cuộn xuống phần Identity (Định danh).
  3. Tích chọn ô Match known users (Chỉ khớp với người dùng đã biết).
  4. Tích chọn ô Use web authenication for unknown users (Hiển thị Captive Portal cho những người dùng chưa xác thực).
  5. Tích bỏ tùy chọn "Exclude this user activity from data accounting" nếu bạn muốn ghi nhận dung lượng mạng của họ.
  6. Tại mục Users or groups: Bấm Add và thêm nhóm của AD cùng với nhóm Open Group (chứa user local vừa tạo). Nếu để trống, mọi user đăng nhập đúng đều được qua.
  7. Nhấn Save.



Tiến hành Test Lab

  1. Mở máy Client trong vùng LAN.
  2. Mở trình duyệt và tìm kiếm bất kỳ
  3. Sẽ ra yêu cầu login page (nếu không login sẽ bị chặn truy cập mạng)
1782603811463.png




Ta sẽ test lần lượt account ở cả Local và AD
1782603947105.png
1782603977688.png




Nếu đăng nhập đúng sẽ được log vào và hiện thông báo như hình, lúc này đã truy cập được internet
Lưu ý, tuyệt đối không được tắt trang này vì có nó bạn mới truy cập được mang, tắt là phải xác thực lại
1782604235107.png




Vào check logviewer trên FW -> Authenication, ta cũng thấy được có 2 xác thực vừa thực hiện
1782604309670.png
 
Bài viết liên quan
Cấu hình tính năng IPS bởi Thanh Phương,
Cấu hình xác định người dùng bằng Agent được cài đặt trên máy tính người dùng (user được tạo local trên NGFW và thông qua tích hợp với AD bởi Thanh Phương,
Cấu hình xác định người dùng bằng việc tính hợp với AD (Active Directory) hoặc Captive Portal kết hợp với MFA bởi Thanh Phương,
Cấu hình tính năng URL Filtering và DNS Security để lọc các lưu lượng traffic dựa vào URL bởi Thanh Phương,
Cấu hình tính năng Application Control giám sát lưu lượng traffic thông qua ứng dụng bởi Thanh Phương,
Cấu hình VPN Remote cho phép người dùng kết nối vào hệ thống nội bộ sử dụng AD (Active Directory) kết hợp với MFA bởi Thanh Phương,
Được quan tâm
Cấu hình tính năng Application Control giám sát lưu lượng traffic thông qua ứng dụng bởi Thanh Phương,
Cấu hình xác định người dùng bằng việc tính hợp với AD (Active Directory) hoặc Captive Portal kết hợp với MFA bởi Thanh Phương,
Cấu hình tính năng URL Filtering và DNS Security để lọc các lưu lượng traffic dựa vào URL bởi Thanh Phương,
Cấu hình xác định người dùng bằng Agent được cài đặt trên máy tính người dùng (user được tạo local trên NGFW và thông qua tích hợp với AD bởi Thanh Phương,
Cấu hình tính năng IPS bởi Thanh Phương,
Bài viết mới
Cấu hình tính năng IPS bởi Thanh Phương,
Cấu hình xác định người dùng bằng Agent được cài đặt trên máy tính người dùng (user được tạo local trên NGFW và thông qua tích hợp với AD bởi Thanh Phương,
Cấu hình xác định người dùng bằng việc tính hợp với AD (Active Directory) hoặc Captive Portal kết hợp với MFA bởi Thanh Phương,
Cấu hình tính năng URL Filtering và DNS Security để lọc các lưu lượng traffic dựa vào URL bởi Thanh Phương,
Cấu hình tính năng Application Control giám sát lưu lượng traffic thông qua ứng dụng bởi Thanh Phương,
Cấu hình VPN Remote cho phép người dùng kết nối vào hệ thống nội bộ sử dụng AD (Active Directory) kết hợp với MFA bởi Thanh Phương,
Bạn phải đăng nhập hoặc đăng ký để bình luận.
Back
Top