wcuong
Administrator
Mục lục:
I. Cấu hình trên Sophos CentralII. Cấu hình trên Active Directory
III. Kiểm tra User trên Sophos Central
Mô hình:
Có 2 sự lựa chọn khi kết nối với Identity Provider từ Sophos Central đó là kết nối trực tiếp với AD Windows Server (on-premise) hoặc có thể kết nối thông qua dịch vụ Cloud đó là Azure AD (và AD on-premise được tích hợp với Azure AD trước đó) như mô hình bạn có thể thấy
Ở 2 bài viết trước:
[LAB 01] Hướng dẫn cấu hình tính năng ZTNA sử dụng Sophos Firewall làm Gateway (Phần 1)
[LAB 02] Hướng dẫn cấu hình tính năng ZTNA sử dụng Sophos Firewall làm Gateway (Phần 2)
Khi triển khai ZTNA thì mình tích hợp Sophos Central với Identity Provider thông qua Azure AD
Và trong trường hợp doanh nghiệp không sử dụng Azure AD thì ở bài viết này mình sẽ tích hợp Sophos Central trực tiếp với Active Directory on-premise
Phần 3: Tích hợp Sophos Central với Active Directory trên Windows Server
I. Cấu hình trên Sophos Central
Bước 1: Tạo ra API để kết nối với ADTruy cập Sophos Central > My Products > General Settings
Bước 2: Chọn API Credentials Managenmet
Bước 3: Chọn Add Credential
Bước 4: Đặt tên và điền mô tả cho Crendential, tại Role có các Option như:
Service Principal Super Admin:
- Cung cấp quyền truy cập đầy đủ và khả năng quản lý tất cả các chức năng trong Sophos Central.
- Chọn vai trò này nếu bạn cần thực hiện nhiều thao tác quản lý, bao gồm cấu hình, thay đổi cài đặt và quản lý người dùng mà không bị hạn chế.
Service Principal ReadOnly:
- Cho phép người dùng xem thông tin mà không có quyền chỉnh sửa.
- Chọn vai trò này nếu bạn chỉ cần theo dõi hoặc kiểm tra dữ liệu mà không cần thực hiện bất kỳ thay đổi nào. Thích hợp cho các nhà phân tích hoặc người giám sát.
Service Principal Management:
- Cho phép quản lý các cài đặt và cấu hình của dịch vụ, nhưng không có quyền truy cập đầy đủ như Super Admin.
- Chọn vai trò này nếu bạn cần quản lý các cài đặt mà không cần quyền truy cập toàn bộ. Thích hợp cho quản trị viên có trách nhiệm cụ thể.
Service Principal Forensics:
- Liên quan đến việc điều tra và phân tích sự cố.
- Chọn vai trò này nếu bạn cần truy cập thông tin để thực hiện phân tích sự cố hoặc điều tra mà không cần quyền quản lý đầy đủ.
Service Principal Directory Sync:
- Cho phép đồng bộ hóa thông tin từ một thư mục (directory) bên ngoài vào hệ thống.
- Chọn vai trò này nếu mục tiêu chính của bạn là đồng bộ hóa người dùng và nhóm từ Active Directory vào Sophos Central. Đây là lựa chọn an toàn và hạn chế quyền truy cập không cần thiết.
Bước 6: Hệ thống sẽ tạo cho 2 giá trị là Client ID và Client Secret để cho việc kết nối với AD ở mục II
Chọn vào Show Client Secret để lấy giá trị này:
Bước 7: Bạn cần lưu thông tin Client Secret này lại vì thoát ra thì khi vào lại sẽ không còn nữa
Bước 9: Download ứng dụng để cho việc kết nối với AD
Từ People > Set Up Directory Serivce
Bước 10: Chọn Download AD Sync installer
II. Cấu hình trên Active Directory
Bước 1: Copy file .msi đã tải về máy cần cài đặt ở đây sẽ là máy Active Directory 2022Chạy file và đảm bảo máy tính có thể kết nối được Internet.
Bước 2: Chọn Next
Bước 3: Chọn đường dẫn để lưu và chọn Next
Bước 4: Chọn Install để tiến hành cài đặt
Bước 5: Quá trình cài đặt xong chọn Finish
Bước 6: Sau khi ấn Finish sẽ xuất hiện biểu tượng S đó chính là AD SYNC
Bước 7: Tại tab Introduction chọn Next
Bước 8: Ở tab Sophos Credentials tiến hành nhập Client ID đã lấy được ở Central và chọn Change secret để thêm Client Secret này
Bước 9: Nhập Client Secret đã lấy từ Central và chọn Change Client Secret
Bước 10: Khi nhập đúng 2 giá trị thì sẽ xác minh thành công hiển trị bằng thông báo "Credentails are conrect!" tiếp tục chọn vào Next
Bước 11: Tại tab AD Configuration điền các thông tin sau
- Bỏ chọn Use LDAP over an SSL.. vì ở đây mình dùng LDAP không mã hóa
- Điền hostname hoặc IP của Active Directory mặc định sẽ có sẵn
- Chọn Port 389 cho LDAP không mã hóa, Port 636 cho LDAPS (LDAP over SSL)
- Active Directory username điền domain và accout với quyền admin
- Cuối cùng chọn Change password
Bước 12: Nhập mật khẩu của accout admin sau đó chọn Change password
Bước 13: Đã hoàn tất các bước thì chọn Next để tiếp tục
Bước 14: Tại tab AD Domain có 2 Option là
Include all domains:
- Nếu bạn chọn tùy chọn này, tất cả các miền trong Active Directory sẽ được đồng bộ hóa với Sophos Central.
- Chọn nếu bạn muốn đồng bộ hóa tất cả người dùng và nhóm từ tất cả các miền mà bạn quản lý.
Include only the checked domains:
- Tùy chọn này cho phép bạn chỉ định các miền cụ thể để đồng bộ hóa. Bạn có thể chọn các miền mà bạn muốn đồng bộ hóa.
- Chọn nếu bạn chỉ muốn đồng bộ hóa một số miền nhất định, giúp kiểm soát tốt hơn dữ liệu được đồng bộ hóa.
Bước 15: Tại tab AD Filters có 4 sự lựa chọn cho việc đồng bộ
Sync devices:
- Tùy chọn này cho phép đồng bộ hóa các thiết bị từ Active Directory.
- Chọn nếu bạn cần quản lý các thiết bị trong Sophos Central.
Sync users and user groups:
- Tùy chọn này cho phép đồng bộ hóa người dùng và nhóm người dùng từ Active Directory.
- Nên chọn nếu bạn muốn quản lý người dùng và nhóm trong Sophos Central.
Sync organizational units:
- Tùy chọn này cho phép đồng bộ hóa các đơn vị tổ chức (OU) từ Active Directory.
- Chọn nếu bạn muốn tổ chức người dùng theo các đơn vị tổ chức trong Sophos Central
Sync public folder:
- Tùy chọn này cho phép đồng bộ hóa các thư mục công cộng từ Active Directory.
- Chọn nếu bạn cần truy cập vào các thư mục công cộng trong Sophos Central
Bước 16: Tại tab Sync Schedule, bạn có thể tùy chọn việc đồng bộ thông tin từ AD này lên Central theo giờ, ngày, tháng, năm và chọn Finish
Bước 17: Chọn Preview and Sync.. để bắt đầu quá trình đồng bộ
Bước 18: Hệ thống sẽ liệt kê các User có trong AD, chọn Appove Change and Continue để cho phép đồng bộ lên Central
Bước 19: Quay lại Sophos Central đã xuất hiện quá trình đồng bộ và hiển thị đồng bộ thành công
Lưu ý: Bạn không thể sửa đổi gì khi đang trong quá trình đồng bộ và khi bạn thoát ra thì quá trình đồng bộ sẽ tự động kết thúc
III. Kiểm tra User trên Sophos Central
Bước 1: Sau khi quá trình đồng bộ thành công bạn có thể kiểm tra bằng cách truy cập People > Manage Users & Group
Bước 2: Hiển thị các danh sách User được đồng bộ từ AD
Những User hiển thị
Những User hiển thị
Đính kèm
Sửa lần cuối:
Bài viết liên quan
Được quan tâm
Bài viết mới