Sophos NGFW Cấu hình xác định người dùng bằng việc tính hợp với AD (Active Directory) hoặc Captive Portal kết hợp với MFA

Thanh Phương

Thanh Phương

Intern

Phần 1: Bật dịch vụ Captive Portal cho mạng LAN

Trước tiên, bạn phải cho phép cổng mạng (Port) của Firewall lắng nghe các yêu cầu xác thực từ Captive Portal ở vùng LAN.
1782525761965.png

  1. Điều hướng đến Administration > Device access.
  2. Tìm đến hàng của Zone LAN.
  3. Tại cột Captive portal, hãy tích chọn vào ô vuông.
  4. Nhấn Apply ở cuối trang để lưu lại.

Phần 2: Ưu tiên máy chủ AD làm nguồn xác thực cho Firewall

1782525791318.png

  1. Điều hướng đến Authentication > Services.
  2. Tìm đến phần Firewall authentication methods (Phương thức xác thực cho tường lửa).
  3. Đảm bảo rằng Server AD của bạn đang được tích chọn và nằm ở vị trí đầu tiên trong danh sách (trên cả Local). Nếu nó nằm dưới, hãy kéo/chuyển nó lên đầu.
  4. Nhấn Apply.

Phần 3: Bắt buộc định danh người dùng trong Firewall Rule

Đây là bước "ràng buộc" traffic với danh tính người dùng.
1782525815316.png

  1. Điều hướng đến Rules and policies > Firewall rules.
  2. Mở Rule LAN to WAN (Luật cho phép nội bộ ra Internet) của bạn lên để Edit.
  3. Tích chọn ô Match known users (Chỉ khớp với người dùng đã biết).
  4. Ngay khi bạn tích vào, một tùy chọn mới sẽ xuất hiện: Use web authen for unknown user -> Hãy tích vào ô này.
  5. Tại mục Users or groups: Bấm Add và chọn nhóm AD mà bạn muốn cho phép ra Internet. (Nếu không chọn gì, mặc định mọi user thuộc AD đăng nhập thành công đều được ra mạng theo rule này).
  6. Nhấn Save.

Phần 4: Kết hợp MFA vào Captive Portal

Vì ở bài lab trước, mình đã bật OTP cho nhóm AD (ở mục Specific users and groups), hệ thống Sophos sẽ tự động áp dụng yêu cầu OTP này cho bất kỳ phương thức đăng nhập nào liên quan đến Firewall (bao gồm cả Captive Portal).

Tham khảo cách thêm MFA tại đây


Phần 5: Kiểm tra thực tế trên Lab (Test & Verify)

Để thấy rõ thành quả của bài lab, bạn hãy thao tác trên máy Client nội bộ như sau:
  1. Giả lập người dùng mới: Mở trình duyệt web (dùng cửa sổ Ẩn danh/Incognito để không bị lưu cache cũ) và gõ một trang web bất kỳ
  2. Chuyển hướng Captive Portal: Trình duyệt sẽ yêu cầu bạn đăng nhập, nhấn Open network login page
1782526052863.png



Đăng nhập với MFA (Quan trọng): * Username:Nhập tên đăng nhập của tài khoản AD.
  • Password: Người dùng phải nhập theo cú pháp: [Mật khẩu AD][Mã OTP từ điện thoại] (Viết liền nhau, không khoảng trắng. Ví dụ: Mật khẩu là P@ssw0rd và mã OTP hiện tại là 123456, thì nhập vào ô password là P@ssw0rd123456). Tham khảo phần 4: Kết hợp MFA vào Captive Portal
  • Nhấn Sign in.
1782526203544.png





Xác nhận thành công: Một cửa sổ sẽ hiện ra báo hiệu phiên đăng nhập (Session) đã bắt đầu. Lúc này, người dùng có thể duyệt web bình thường.
1782526288347.png
1782526317907.png





Bạn cũng có thể đăng nhập vào User portal để xem các thao tác với account của mình
1782526392922.png
 
Bài viết liên quan
Cấu hình tính năng IPS bởi Thanh Phương,
Cấu hình xác định người dùng bằng Agent được cài đặt trên máy tính người dùng (user được tạo local trên NGFW và thông qua tích hợp với AD bởi Thanh Phương,
Cấu hình xác định người dùng bằng Captive Portal (user được tạo local trên NGFW và thông qua tích hợp với AD bởi Thanh Phương,
Cấu hình tính năng URL Filtering và DNS Security để lọc các lưu lượng traffic dựa vào URL bởi Thanh Phương,
Cấu hình tính năng Application Control giám sát lưu lượng traffic thông qua ứng dụng bởi Thanh Phương,
Cấu hình VPN Remote cho phép người dùng kết nối vào hệ thống nội bộ sử dụng AD (Active Directory) kết hợp với MFA bởi Thanh Phương,
Được quan tâm
Cấu hình tính năng Application Control giám sát lưu lượng traffic thông qua ứng dụng bởi Thanh Phương,
Cấu hình xác định người dùng bằng Captive Portal (user được tạo local trên NGFW và thông qua tích hợp với AD bởi Thanh Phương,
Cấu hình tính năng URL Filtering và DNS Security để lọc các lưu lượng traffic dựa vào URL bởi Thanh Phương,
Cấu hình xác định người dùng bằng Agent được cài đặt trên máy tính người dùng (user được tạo local trên NGFW và thông qua tích hợp với AD bởi Thanh Phương,
Cấu hình tính năng IPS bởi Thanh Phương,
Bài viết mới
Cấu hình tính năng IPS bởi Thanh Phương,
Cấu hình xác định người dùng bằng Agent được cài đặt trên máy tính người dùng (user được tạo local trên NGFW và thông qua tích hợp với AD bởi Thanh Phương,
Cấu hình xác định người dùng bằng Captive Portal (user được tạo local trên NGFW và thông qua tích hợp với AD bởi Thanh Phương,
Cấu hình tính năng URL Filtering và DNS Security để lọc các lưu lượng traffic dựa vào URL bởi Thanh Phương,
Cấu hình tính năng Application Control giám sát lưu lượng traffic thông qua ứng dụng bởi Thanh Phương,
Cấu hình VPN Remote cho phép người dùng kết nối vào hệ thống nội bộ sử dụng AD (Active Directory) kết hợp với MFA bởi Thanh Phương,
Bạn phải đăng nhập hoặc đăng ký để bình luận.
Back
Top