Configurer le SSO Agent d’Active Directory

Si vous utilisez plusieurs domaines Active Directory, vous devez préciser les domaines à utiliser pour Single Sign-On (SSO). Sitôt SSO Agent installé, vous pouvez indiquer les domaines à utiliser pour l'authentification et synchroniser la configuration du domaine avec SSO Agent. Vous pouvez par ailleurs préciser les options pour utiliser SSO sans SSO Client. C'est ce qui s'appelle clientless SSO. Vous configurez les paramètres pour Clientless SSO au moment de configurer SSO Agent. Pour configurer les paramètres de SSO Agent, vous devez bénéficier des droits d'administrateur sur l'ordinateur où SSO Agent est installé.

Lorsque vous lancez SSO Agent pour la première fois, il crée les fichiers de configuration Users.xml et AdInfos.xm. Ces fichiers de configuration chiffrés stockent les informations détaillées sur la configuration des domaines que vous précisez au moment de configurer SSO Agent.

SSO Agent possède deux comptes par défaut, administrator et status, que vous pouvez utiliser pour vous connecter à SSO Agent. Pour modifier la configuration de SSO Agent, vous devez vous connecter avec les informations d'identification de l'administrateur. Après votre première connexion, il est recommandé de modifier les mots de passe des comptes par défaut.

Les informations d'identification par défaut (nom d'utilisateur/mot de passe) pour ces comptes sont :

• Administrator — admin/readwrite
• Status — status/readonly

Pour plus d'informations sur Active Directory, consultez Configurer l'Authentification Active Directory.

Prise en charge IPv6

IPv6 est pris en charge par Fireware v12.3 et les versions ultérieures. Si les ordinateurs de l’utilisateur de votre réseau ont des adresses IPv4 et IPv6, nous vous recommandons d'activer l'assistance IPv4 et IPv6 sur les serveurs où Event Log Monitor ou SSO Agent sont installés.

Le trafic IPv4 et IPv6 est traité séparément dans des environnements utilisant ces deux adresses. Par exemple, un nom d'utilisateur jsmith dispose d'un ordinateur avec des adresses IPv4 et IPv6. Dans la liste des Utilisateurs authentifiés sur le Firebox, deux sessions différentes apparaissent pour l'utilisateur jsmith.

Pour afficher l'adresse IPv6 d'un Utilisateur authentifié :

• Fireware Web UI - Sélectionnez État du système > Liste d’authentification.
• Foyer System Manager - Sélectionnez l'onglet Liste d'authentification.

Se connecter à l'outil de configuration de SSO Agent

1. Sélectionnez Démarrer > WatchGuard > Authentication Gateway > Outil de configuration de WatchGuard SSO Agent.
   La boîte de dialogue de connexion aux outils de configuration SSO Agent apparaît.
2. Dans la zone de texte Nom d'utilisateur, entrez le nom d'utilisateur de l'administrateur admin.
3. Dans la zone de texte Mot de Passe, entrez le mot de passe de l'administrateur readwrite.
   La boîte de dialogue Outils de configuration SSO Agent apparaît.

4. Configurez SSO Agent selon la procédure indiquée dans les sections suivantes.
   Les modifications que vous apportez à la configuration sont enregistrées automatiquement.

Gérer les comptes d'utilisateur et les mots de passe

Après vous être connecté une première fois, vous pouvez changer le mot de passe des comptes par défaut. Étant donné que vous devez vous connecter avec des informations d'identification d'administrateur pour modifier les paramètres de SSO Agent, assurez-vous de vous rappeler du mot de passe choisi pour le compte d'administrateur. Vous pouvez ajouter de nouveaux comptes d'utilisateur et modifier les paramètres des comptes d'utilisateur existants. Vous pouvez aussi utiliser les deux comptes admin et status pour ouvrir une session Telnet afin de configurer SSO Agent.

Pour plus d'informations sur l'utilisation de telnet avec SSO Agent, consultez Utiliser Telnet pour déboguer SSO Agent.

Changer le mot de passe d'un compte d'utilisateur

Pour les comptes admin et status, il est uniquement possible de modifier le mot de passe du compte ; vous ne pouvez pas changer le nom d'utilisateur.

Dans la boîte de dialogue Outils de configuration SSO Agent  :

1. Sélectionnez Modifier > Gestion des utilisateurs.
   La boîte de dialogue Formulaire de gestion des utilisateurs s'ouvre.

2. Sélectionnez le compte à modifier.
   Par exemple, sélectionnez admin.
3. Cliquez sur Changer le Mot de Passe.
   La boîte de dialogue Changer le mot de passe s'affiche.
4. Dans les zones de texte Mot de Passe et Confirmer le Mot de Passe, entrez le nouveau mot de passe de ce compte d'utilisateur.
5. Cliquez sur OK.

Ajouter un compte d'utilisateur

Dans la boîte de dialogue Outils de configuration SSO Agent  :

1. Sélectionnez Modifier > Gestion des utilisateurs.
   Le Formulaire de gestion des utilisateurs s'ouvre.
2. Cliquez sur Ajouter un Utilisateur.
   La boîte de dialogue Ajouter un Utilisateur apparait.
3. Dans la zone de texte Nom d'utilisateur, entrez le nom de ce compte d'utilisateur.
4. Dans les zones de texte Mot de Passe et Confirmer le mot de passe, entrez le mot de passe de ce compte d'utilisateur.
5. Sélectionnez l'option d'accès de ce compte :
   • Lecture seule
   • Lecture/écriture
6. Cliquez sur OK.

Modifier un compte d'utilisateur

Lorsque vous modifiez un compte d'utilisateur, seule l'option d'accès peut être modifiée. Vous ne pouvez pas changer le nom d'utilisateur ou le mot de passe de ce compte. Pour changer le nom d'utilisateur, vous devez ajouter un nouveau compte d'utilisateur et supprimer l'ancien.

Dans la boîte de dialogue Outils de configuration SSO Agent  :

1. Sélectionnez Modifier > Gestion des utilisateurs.
   Le Formulaire de gestion des utilisateurs s'ouvre.
2. Sélectionnez le compte à modifier.
3. Cliquez sur Modifier l'utilisateur.
   La boîte de dialogue Modifier l'utilisateur s'affiche.
4. Sélectionnez la nouvelle option d'accès de ce compte :
   • Lecture seule
   • Lecture/écriture
5. Cliquez sur OK.

Supprimer un compte d'utilisateur

Dans la boîte de dialogue Outils de configuration SSO Agent  :

1. Sélectionnez Modifier > Gestion des utilisateurs.
   Le Formulaire de gestion des utilisateurs s'ouvre.
2. Sélectionnez le compte à supprimer.
3. Cliquez sur Supprimer l'utilisateur.
   La boîte de dialogue Supprimer l'utilisateur s'affiche.
4. Vérifiez que le Nom d'utilisateur correspond au compte que vous voulez supprimer.
5. Cliquez sur OK.

Configurer les Domaines pour le SSO Agent

Pour configurer SSO Agent, vous pouvez ajouter, modifier ou supprimer des informations concernant vos domaines Active Directory. Lorsque vous ajoutez ou modifiez un domaine, il faut indiquer un compte d'utilisateur à utiliser pour effectuer les recherches sur votre serveur Active Directory. Nous vous recommandons de créer un compte d'utilisateur à cette fin sur le serveur, possédant les droits d'effectuer des recherches dans l'annuaire, et dont le mot de passe n'expire jamais.

Ajouter un domaine

Dans la boîte de dialogue Outils de configuration SSO Agent  :

1. Sélectionnez Modifier > Ajouter un domaine.
   La boîte de dialogue Ajouter un domaine s'affiche.
2. Dans la zone de texte Nom de domaine, saisissez le nom du domaine.
   Vous pouvez taper, par exemple, mon-exemple.com.
   Le nom de domaine de votre serveur Active Directory doit respecter la casse. Veillez à saisir exactement le nom de domaine tel qu'il apparait sous l'onglet Active Directory dans les paramètres du serveur d'authentification de votre Firebox. Pour plus d'informations, consultez Configurer l'Authentification Active Directory.
3. Dans la zone de texte Nom de domaine NetBIOS, tapez le nom de domaine NetBIOS de votre domaine.

Pour trouver le nom de domaine NetBIOS :

1. Sur le serveur Active Directory pour le domaine, sélectionnez Démarrer > Outils d'administration > Certifications et domaine Active Directory.
2. Dans la liste des domaines, cliquez avec le bouton droit sur votre domaine et sélectionnez Propriétés.
3. Trouvez la valeur Nom de domaine (pré-Windows 2000). Il s'agit du nom de domaine NetBIOS de votre domaine.

4. Dans la zone de texte Adresse IP du contrôleur de domaine, tapez l'adresse IP du Serveur Active Directory de ce domaine. Dans v12.3 ou une version ultérieure, vous pouvez saisir une adresse IPv6.
   Pour spécifier plus d'une adresse IP pour le contrôleur de domaine, séparez les adresses IP par un point virgule, sans espaces.
5. Dans la zone de texte Port, entrez le port à utiliser pour se connecter au serveur.
   Le numéro de port par défaut est 389.
6. Dans la section Utilisateur qui effectue la recherche, choisissez une option :
   • Nom unique (DN) (cn=ssouser,cn=utilisateurs,dc=domaine,dc=com)
   • Nom d'utilisateur principal (UPN) ([email protected])
   • Antérieur à Windows 2000 (netbiosDomain\ssouser)
7. Dans la zone de texte, tapez les informations de l'utilisateur pour l'option que vous avez sélectionnée.
   Assurez-vous d'indiquer un utilisateur ayant le droit d'effectuer des recherches sur l'annuaire de votre Active Directory Server.
8. Dans les zones de texte Mot de passe de l'utilisateur qui effectue la recherche et Confirmer le mot de passe, saisissez le mot de passe de l'utilisateur choisi.
   Ce mot de passe doit être identique à celui du compte d'utilisateur sur votre serveur Active Directory.
9. Pour ajouter un autre domaine, cliquez sur OK & Ajouter un autre. Répétez les Étapes 2 à 8.
10. Cliquez sur OK.
    Le nom de domaine apparaît dans la liste des Outils de configuration de SSO Agent.

Modifier un domaine

Lorsque vous modifiez un domaine SSO, vous pouvez changer tous les paramètres, sauf le nom de domaine. Pour changer un nom de domaine, vous devez supprimer le domaine et en ajouter un autre ayant le nom souhaité.

Dans la boîte de dialogue Outils de configuration SSO Agent  :

1. Sélectionnez le domaine à modifier.
2. Sélectionnez Modifier > Modifier un domaine.
   La boîte de dialogue Modifier un domaine s'affiche.
3. Mettez à jour les paramètres du domaine.
4. Cliquez sur OK.

Supprimer un domaine

Dans la boîte de dialogue Outils de configuration SSO Agent  :

1. Sélectionnez le domaine à supprimer.
2. Sélectionnez Modifier > Supprimer un domaine.
   Un message de configuration apparaît.
3. Cliquez sur Oui.

Configurer Clientless SSO

Si SSO Client n'est pas installé ou disponible, vous pouvez configurer SSO Agent de sorte à avoir recours à Clientless SSO pour obtenir les informations de connexion des utilisateurs des modules Event Log Monitor ou Exchange Monitor installés sur votre réseau. Les Event Log Monitors sont également installés sur un ou plusieurs serveurs membres de domaine dans chaque domaine. Exchange Monitor est installé sur le même ordinateur sur lequel votre serveur Microsoft Exchange est installé.

Si vous utilisez Event Log Monitor, quand un utilisateur tente de s'authentifier, SSO Agent envoie à EventLog Monitor le nom d'utilisateur et l'adresse IP de l'ordinateur client. Event Log Monitor utilise alors ces informations pour interroger l'ordinateur client sur le port TCP 445 et récupérer les informations d'identification de l'utilisateur à partir des événements de sécurité Windows de l'ordinateur client. Avec les informations d'identification obtenues, Event Log Monitor contacte le contrôleur de domaine afin de se renseigner sur les informations du groupe de sécurité pour l'utilisateur. Si vous avez installé plusieurs Event Log Monitor et que le premier Event Log Monitor interrogé par le SSO Agent SSO ne disposent pas des bons identifiants d'utilisateur, le SSO Agent interroge le Event Log Monitor suivant dans la liste Domaines de contact. Le SSO agent continue à contacter chaque Event Log Monitor de la liste jusqu'à ce qu'il trouve les bonnes informations d'identification d'utilisateur. Il fournit ensuite ces informations à SSO Agent.

Si vous n'installez pas SSO Client sur les ordinateurs de vos utilisateurs, vérifiez que Event Log Monitor apparaît en premier dans la liste Contacts SSO Agent. Si vous mettez SSO Client en principal contact et que SSO Client est indisponible, SSO Agent interroge ensuite Event Log Monitor, causant toutefois un éventuel retard.

Pour les utilisateurs de périphériques sous macOS 10.6 et versions supérieures, plate-formes iOS ou Android, vous pouvez utiliser Exchange Monitor pour obtenir les informations de connexion de ces utilisateurs. Exchange Monitor est installé sur le même ordinateur que Microsoft Exchange Server. Par conséquent, Exchange Monitor suit les actions de connexion/déconnexion du compte de domaine pour chaque utilisateur et informe le SSO Agent de ces événements en temps réel.

Après avoir installé SSO Agent, vous devez ajouter les informations des domaines sur lesquels les modules Event Log Monitor sont installés à la configuration de SSO Agent dans la liste Domaines de contact. Si vous disposez d'un seul et unique domaine et que SSO Agent est installé sur le contrôleur de domaine, ou si vous disposez de plusieurs domaines et que Event Log Monitor figure sur le même domaine que SSO Agent, il n'est pas utile de préciser les informations de domaine du contrôleur de domaine dans la liste Domaines de contact. Si plusieurs événement Event Log Monitor ou Exchange Monitor font partie de la liste Domaines de contact, le SSO Agent interroge la première entrée dans la liste pour tenter d'obtenir les informations d'identification d'utilisateur et les informations du groupe. Si le premier Event Log Monitor ou Exchange Monitor n'est pas disponible, le SSO Agent contacte le moniteur suivant dans la liste. Ce processus se poursuit jusqu'à ce que l'agent SSO trouve un moniteur disponible.

Pour plus d'informations sur l'installation de Event Log Monitor et Exchange Monitor, consultez Installer l'Agent WatchGuard Single Sign-On (SSO) et Event Log Monitor.

Pour plus d'informations sur l'équilibrage de charge et le basculement pour Event Log Monitor, consultez la section Event Log Monitor dans Comment fonctionne Active Directory SSO ?.

Avant de configurer et d'activer les paramètres de Clientless SSO, vous devez vous assurer que le port TCP 445 est ouvert sur les ordinateurs clients de votre domaine, ou que l'option Partage de fichiers et d'imprimantes est cochée et que la stratégie de groupe pour activer Event Log Monitor et obtenir les informations sur les informations de connexion des utilisateurs est correcte. Si ce port n'est pas ouvert et que la stratégie configurée n'est pas la bonne, Event Log Monitor ne peut pas obtenir les informations de connexion du groupe et SSO ne fonctionne pas correctement.

Sur l'ordinateur où figure votre contrôleur de domaine :

1. Ouvrez l'Éditeur d'objets de stratégie de groupe et modifiez la Stratégie de domaine par défaut.
2. Assurez-vous que dans Stratégie d'audit (Configuration ordinateur > Paramètres Windows > Paramètres de sécurité > Stratégies locales > Stratégie d'audit), les stratégies Auditer les événements de connexion aux comptes et Auditer les événements de connexion sont activées.
3. Sur la ligne de commande, exécutez la commande gpupdate/force/boot.
   Lorsque la commande est exécutée, la chaîne de messages suivante s'affiche :
   Mise à Jour de la Stratégie... La mise à jour de la Stratégie Utilisateur a été effectuée avec succès. Mise à Jour de la Stratégie de l'ordinateur terminée.

Vous pouvez ajouter, modifier et supprimer des informations de domaine pour Clientless SSO. Vous pouvez spécifier plusieurs adresses IP pour le contrôleur de domaine de chaque nom de domaine que vous ajoutez. Si Event Log Monitor ne parvient pas à contacter le contrôleur de domaine à la première adresse IP, il tente de contacter l'adresse IP du contrôleur de domaine suivant dans la liste.

Dans la boîte de dialogue Outils de configuration SSO Agent  :

1. Sélectionnez Modifier > Paramètres des Contacts de SSO Agent.
   La boîte de dialogue Paramètres des Contacts de SSO Agent s'affiche.

2. Dans la liste Contacts SSO Agent, cochez la case de chaque contact pour SSO Agent :
   • SSO Client
   • Event Log Monitor
   • Exchange Monitor
3. Pour modifier l'ordre des Contacts SSO Agent, sélectionnez un contact et cliquez sur Monter ou Descendre.
   Vous ne pouvez pas modifier la position de Exchange Monitor.
4. Ajoutez, modifiez ou supprimez un domaine de contact tel que décrit dans les sections suivantes.
5. Cliquez sur OK pour enregistrer vos paramètres.

Ajouter un Domaine de Contact

Vous pouvez préciser plusieurs domaines pour que Event Log Monitor ou Exchange Monitor entre en contact et obtienne les informations de connexion des utilisateurs.

Lorsque vous ajoutez un domaine pour Exchange Monitor, vous devez spécifier les adresses IP et l'intervalle de vérification de session pour le serveur Microsoft Exchange. L'intervalle de vérification de session indique le temps observé avant qu'Exchange Monitor ne déconnecte un utilisateur qui ne figure pas comme actif dans les messages de journal IIS de votre serveur Exchange. Le paramètre par défaut est 40 minutes. Vous devez spécifier un intervalle d'au moins 5 minutes.

Modifier un domaine de contact

À partir de la boîte de dialogue Paramètres de Contact de SSO Agent :

1. Dans la liste Domaines de contact, sélectionnez le domaine à modifier.
2. Cliquez sur Modifier.
   La boîte de dialogue Paramètres Event Log Monitor apparaît.
3. Mettez à jour les paramètres du domaine.
4. Cliquez sur OK.

Supprimer un domaine

À partir de la boîte de dialogue Paramètres de Contact de SSO Agent :

1. Dans la liste Domaines de contact, sélectionnez le domaine à supprimer.
2. Cliquez sur Supprimer.
   Le domaine est supprimé de la liste.

Tester la Connexion au Port SSO

Vous pouvez utiliser l'outil Testeur de Port SSO pour vérifier que l'agent SSO peut contacter Event Log Monitor et Exchange Monitor. L'outil Testeur de Port SSO vous permet de vérifier si l'agent SSO peut contacter un serveur à une adresse IP unique, des serveurs à plusieurs adresses IP ou une plage d'adresses IP.

Vous importez un fichier texte comportant des adresses IP à tester si vous préférez vérifier la connexion d'une adresse IP unique ou de plusieurs adresses IP plutôt que d'une plage d'adresses. Vous pouvez également spécifier les ports à tester et l'intervalle de délai d'expiration de connexion.

À partir de la boîte de dialogue Paramètres de Contact de SSO Agent :

1. Cliquez sur Tester le Port SSO.
   La boîte de dialogue Tester le Port SSO s'affiche.

2. Dans la section Spécifier des adresses IP, sélectionnez une option  :
   • Plage d’adresse de l'Hôte IPv4
   • Plage d'adresse de l'hôte IPv6 (Fireware v12.3 ou versions supérieures)
   • Adresse IP du réseau IPv4
   • Adresse IP du réseau IPv6 (Fireware v12.3 ou version ultérieure)
   • Importer des Adresses IP
3. Si vous avez sélectionné Plage d'adresses IP d'hôte IPv4 ou Plage d’adresses d’hôte IPv6, entrez la plage d'adresses IP à tester dans la zone de texte adjacente Plage d'adresses IP d'hôte.
   Si vous avez sélectionné Adresse IP du Réseau IPv4 ou Adresse IP du Réseau IPv6, entrez l'adresse IP du réseau à tester dans la zone de texte adjacente Adresse IP du Réseau.
   Si vous avez sélectionné Importer des Adresses IP, cliquez sur et sélectionnez le fichier texte contenant la liste d'adresses IP à tester.
4. Dans la zone de texte Ports, entrez les numéros de port à tester.
   Pour tester plusieurs ports, entrez les numéros de port séparés par une virgule, sans espace.
5. Cliquez sur Tester.
   Les résultats du test de port apparaissent dans la fenêtre Tester le port SSO.
6. Pour enregistrer les résultats des tests dans un fichier journal, cliquez sur Sauvegarder le journal, puis indiquez le nom de fichier et un emplacement dans lequel enregistrer le fichier journal.
7. Pour arrêter le processus de l'outil de test de port, cliquez sur Quitter.

Afficher les Informations d'État sur des Composants SSO

Dans la version v12.2 et les versions ultérieures de SSO Agent, vous pouvez afficher l'état de connexion des composants SSO de votre réseau. Par exemple, si vous avez installé Event Log Manager (ELM), vous pouvez consulter si SSO Agent et Event Log Monitor sont connectés. Ces informations sont actualisées toutes les 3 secondes.

Dans v12.3 ou versions supérieures de SSO Agent, vous pouvez également afficher le numéro de version de SSO Agent et le numéro de version de chaque composant SSO.

Dans la version v12.4 et les versions ultérieures de SSO Agent, vous pouvez afficher l'état des demandes d'authentification :

• Information d’authentification - Information sur les utilisateurs actuellement authentifiés, qui comprend le nom de domaine, l’adresse IP, le type, le nom d'utilisateur et la durée d’authentification pour chaque demande
• Liste IP en attente - Demandes envoyées à SSO Agent qui n'ont pas été traitées
• Liste IP en traitement - Demandes en cours de traitement avec Event Log Manager, Exchange Monitor, le SSO Client, ou Active Directory

Dans la plupart des cas, les listes IP en attente et IP en traitement sont vides parce que les demandes d'authentification se déplacent généralement vers les états en attente et en traitement plus rapidement que l'intervalle d’actualisation.

(SSO Agent v12.4 ou versions supérieures) Pour configurer l'intervalle d'actualisation, depuis le menu déroulant Intervalle d’actualisation, sélectionner 5 secondes, 10 secondes, 30 secondes, 60 secondes, 2 minutes, ou 5 minutes.

Pour afficher ces informations dans SSO Agent, sélectionnez Informations > État.

Configurer l'API Utilisé pour Communiquer avec Event Log Monitor

Dans la v12.5.4 et les versions ultérieures de SSO Agent, vous pouvez opter pour utiliser un API Microsoft plus récent (API du Journal d'Événements Microsoft Windows) pour communiquer avec Event Log Monitor. Ce nouvel API peut interpréter d'autres types d'événements et filtrer uniquement les événements de connexion et de déconnexion de manière à limiter le trafic entre l'agent et le serveur.

Par défaut, SSO Agent utilise toujours l'API du Journal d'événements Microsoft. Pour utiliser le nouvel API du Journal d'événements Microsoft Windows, vous devez le sélectionner dans l'Outil de Configuration de SSO Agent.

Pour sélectionner l'API Microsoft à utiliser par Event Log Monitor pour communiquer :

1. Sélectionnez Démarrer > WatchGuard > Authentication Gateway > Outil de configuration de WatchGuard SSO Agent.
   La boîte de dialogue de connexion aux outils de configuration SSO Agent apparaît.
2. Dans la zone de texte Nom d'utilisateur, entrez le nom d'utilisateur de l'administrateur.
3. Dans la zone de texte Mot de Passe, entrez le mot de passe de l'administrateur.
   La boîte de dialogue Outils de configuration SSO Agent apparaît.

4. Sélectionnez Modifier > Informations de SSO Agent.
5. Sélectionnez l'API à utiliser. L'API du Journal d'événements Microsoft Windows est le plus récent.
   Le nouvel API (API du Journal d'événements Microsoft Windows) prend en charge les systèmes d'exploitation suivants :

   • Windows Vista
   • Windows 7
   • Windows 8
   • Windows 10
   L'API actuel (API du Journal d'événements Microsoft) prend en charge les systèmes d'exploitation suivants :

   • Windows XP
   • Windows Server 2003
   • Windows Vista
   • Windows 7
   • Windows 8
   • Windows 10

Nous vous recommandons que chaque instance de SSO Agent utilise un Event Log Monitor distinct. Si plusieurs SSO Agents utilisent le même Event Log Monitor, chaque SSO Agent doit utiliser le même API de communication.

Voir Également

À propos de Active Directory Single Sign-On (SSO)

Comment fonctionne Active Directory SSO ?

Installer l'Agent WatchGuard Single Sign-On (SSO) et Event Log Monitor

Installer WatchGuard Active Directory SSO Client

Installer WatchGuard Active Directory SSO Exchange Monitor

Dépanner Active Directory SSO