Dépanner Active Directory SSO

Active Directory

• Votre serveur Active Directory est configuré sur votre réseau approuvé ou facultatif.
• Tous les utilisateurs ont un compte d'utilisateur sur le serveur Active Directory.
  

Firebox

• Votre Firebox est configuré de façon à utiliser l'authentification Active Directory pour SSO
• L'adresse IP de SSO Agent est spécifié dans la configuration du Firebox
• Les exceptions SSO sont spécifiées pour les réseaux et les périphériques qui ne font pas partie du domaine, tels que des réseaux et des routeurs invités

SSO Agent

• Le port TCP 4114 est ouvert sur le serveur sur lequel vous installez SSO Agent.
• Pour la version v12.3 ou une version ultérieure de SSO Agent, Microsoft .NET Framework v4.0 ou une version ultérieure est installé sur le serveur sur lequel vous installez SSO Agent.
• Pour les versions de SSO Agent antérieures à v12.3, Microsoft .NET Framework v2.0-4.5 doit être installé sur le serveur sur lequel vous installez SSO Agent
• SSO Agent est exécuté par un compte d'utilisateur appartenant au groupe de sécurité Utilisateurs du Domaine. Astuce ! Nous vous recommandons d'ajouter un compte d'utilisateur sur votre serveur Active Directory à cet effet et de paramétrer votre mot de passe pour qu'il n'expire jamais.
  Le compte Utilisateurs du Domaine que vous sélectionnez doit posséder les permissions nécessaires pour exécuter les services sur le serveur Active Directory, effectuer des recherches dans l'annuaire et rechercher toutes les autres informations d'audit des utilisateurs. Pour des raisons de sécurité, nous vous recommandons de ne pas sélectionner de compte membre du groupe de sécurité Administrateurs du Domaine.
• SSO Agent est configuré correctement

Pour vérifier que SSO Agent est configuré correctement :

1. Depuis le menu Démarrer de Windows, sélectionnez Tous les Programmes > WatchGuard > Passerelle d'Authentification > SSO Agent.
2. Connectez-vous au SSO Agent. Le nom d'utilisateur et le mot de passe par défaut sont admin et readwrite.
3. Sélectionnez Modifier > Paramètres des Contacts de SSO Agent.
4. Vérifiez quue votre méthode SSO préférée est activée et définie comme Priorité 1. Si vous avez configuré une méthode de SSO de secours, vérifiez qu'elle soit activée et définie comme Priorité 2.

• Le port TCP 4116 est ouvert sur les ordinateurs clients sur lesquels vous avez installé SSO Client
• Les ordinateurs macOS ont été ajoutés au domaine Active Directory avant l'installation de SSO Client
• Tous les ordinateurs à partir desquels les utilisateurs s'authentifient à l'aide de SSO sont membres du domaine Active Directory avec des relations d'approbation ininterrompues.
• Tous les utilisateurs se connectent avec un compte d'utilisateur de domaine, et non pas un compte d'utilisateur d'ordinateur local. Si les utilisateurs se connectent à un compte d'utilisateur qui n'existe que sur leur ordinateur local, leurs informations d'identification ne sont pas vérifiées et le Firebox ne reconnaît pas qu'ils sont connectés.
• SSO Client est activé dans les paramètres SSO Agent. Pour spécifier SSO Client comme votre méthode SSO principale, définissez-la comme Priorité 1.

• Le port TCP 4135 est ouvert sur le contrôleur de domaine où est installé Event Log Monitor
• Event Log Monitor est installé sur un contrôleur de domaine pour chaque domaine Active Directory dans votre réseau
• Event Log Monitor est exécuté par un compte d'utilisateur membre du groupe de sécurité Utilisateurs du Domaine Astuce ! Nous vous recommandons d'ajouter un compte d'utilisateur sur votre serveur Active Directory à cet effet. Nous vous recommandons de paramétrer le mot de passe de votre compte pour qu'il n'expire jamais.
  Pour des raisons de sécurité, nous vous recommandons de ne pas sélectionner de compte membre du groupe de sécurité Administrateurs du Domaine.
• Le compte Utilisateurs du Domaine que vous sélectionnez doit posséder les permissions nécessaires pour exécuter les services sur le serveur Active Directory, effectuer des recherches dans l'annuaire et rechercher toutes les autres informations d'audit des utilisateurs.
• Event Log Monitor est activé dans les paramètres SSO Agent. Pour spécifier Event Log Monitor comme votre méthode SSO principale, définissez-la comme Priorité 1. Pour la définir comme votre méthode SSO de secours, définissez-la comme Priorité 2.
• Une fois que vous activez la génération des messages de journal d'audit pour les événements de connexion du compte, le Journal d'Événement de sécurité sur votre ordinateur Windows génère les événements Windows 4624 et 4634 après des actions de connexion et de déconnexion
• Le fichier Journal des Événements de Sécurité n'est pas plein sur vos ordinateurs Windows

Pour activer les journaux d'audit pour les événements de connexion du compte :

1. Sélectionnez Démarrer > Outils d'administration > Gestion des Stratégies de Groupe.
2. Faites un clic droit sur Stratégie de Domaine par Défaut , puis cliquez sur Modifier.
   
   L'Éditeur de Gestion des Stratégies de Groupe s'affiche.
3. À partir de Configuration de l'Ordinateur, sélectionnez Stratégies > Paramètres Windows > Paramètres de Sécurité > Stratégies locales > Stratégies d'Audit.
4. Ouvrez Auditer les événements de connexion aux comptes.
5. Cochez la case Définir ces paramètres de stratégie.
6. Cochez la case Réussi.
   
   Pour générer des messages de journal supplémentaires qui peuvent vous aider à dépanner les problèmes d'authentification, cochez la case Échec.
   
   Une fois le problème résolu, n'oubliez pas de décocher la case Échec.
7. Cliquez sur OK.
8. Forcez les ordinateurs de l'utilisateur à obtenir la stratégie de groupe mise à jour avec l'une de ces méthodes :
   • Exécutez gpupdate localement sur l'ordinateur, ou à distance avec la commande gpupdate /target.
   • Demandez à l'utilisateur de se déconnecter et de reconnecter à nouveau.
   • Redémarrez l'ordinateur de l'utilisateur.

• le port TCP 4136 est ouvert sur le serveur où vous avez installé Exchange Monitor
• Exchange Monitor est installé sur le même serveur sur lequel votre serveur Microsoft Exchange est installé
• Exchange Server est configuré pour générer des journaux IIS dans le format de journal W3C Développé et des messages de journal d'accès client RPC
• Exchange Monitor s'exécute comme compte d'utilisateur dans le groupe de sécurité Admins du domaine
• Le domaine de contact d'Exchange Monitor est spécifié dans les paramètres du SSO Agent, si le SSO Agent n'est pas installé sur votre contrôleur de domaine, ou les Exchange Monitor et SSO Agents sont installés sur des domaines différents.
• Exchange Monitor est activé dans les paramètres SSO Agent. Pour spécifier Exchange Monitor comme votre méthode SSO principale, définissez-la comme Priorité 1. Pour la définir comme votre méthode SSO de secours, définissez-la comme Priorité 2.
• Les utilisateurs lancent un programme de messagerie avant de tenter d'obtenir un accès à Internet. Ceci génère les messages de journal IIS sur votre Exchange Server qu'Exchange Monitor requiert pour SSO.

le port TCP 445 (Partage de fichiers et d'imprimante/SMB Windows) est ouvert sur tous les ordinateurs de l'utilisateur.

Pour tester si le port 445 est ouvert, vous pouvez utiliser :

• L'outil Testeur de Port SSO
• Un client telnet
  Par exemple, lors d'une invite de commande Windows, saisissez telnet x.x.x.x 445. N'oubliez pas de remplacer x.x.x.x par l'adresse IP de l'autre ordinateur de l'utilisateur.

1. Connectez-vous à l'Outil de Configuration de SSO Agent.
2. Sélectionnez Modifier > Paramètres des Contacts de SSO Agent.
3. Cliquez sur Tester le Port SSO.
   La boîte de dialogue Tester le Port SSO s'affiche.

4. Dans la section Spécifier des adresses IP, sélectionnez une option  :
   • Plage d'Adresses IP d'Hôte
   • Adresse IP du Réseau
   • Importer des Adresses IP
5. Si vous avez sélectionné Plage d'Adresses IP d'Hôte, entrez la plage d'adresses IP à tester dans la zone de texte Plage d'adresses IP d'hôte. Pour tester une adresse IP unique, saisissez la même adresse IP dans les deux zones de texte.
   Si vous avez sélectionné Adresse IP du Réseau, entrez l'adresse IP du réseau à tester dans la zone de texte Adresse IP du Réseau.
   Si vous avez sélectionné Importer des Adresses IP, cliquez sur et sélectionnez le fichier texte contenant la liste d'adresses IP à tester.
6. Dans la zone de texte Ports, entrez les numéros de port à tester.
   Pour tester plusieurs ports, entrez tous les numéros de port séparés par une virgule, sans espace.
7. Cliquez sur Tester.
   Les résultats du test de port apparaissent dans la fenêtre Tester le port SSO.
8. Pour enregistrer les résultats des tests dans un fichier journal, cliquez sur Sauvegarder le journal, puis indiquez le nom de fichier et un emplacement dans lequel enregistrer le fichier journal.
9. Pour arrêter le processus de l'outil de test de port, cliquez sur Quitter.

Accès refusé

Vous pouvez voir ce message d'erreur si :

• Il y a des périphériques sur le réseau qui ne sont pas des ordinateurs, par exemple des imprimantes et des routeurs.
• Il y a des ordinateurs ou d'autres périphériques sur le réseau qui ne sont pas membres du domaine
• Un utilisateur a fourni des informations d'identification de domaine invalides pour SSO
• Les services SSO sur le serveur ou l'ordinateur ne possèdent pas les privilèges d'Administrateur

Pour dépanner ce message d'erreur :

• Vérifiez que la relation d'approbation entre l'ordinateur du domaine et le contrôleur de domaine est correcte. S'il existe un problème d'appartenance à un domaine, retirez l'ordinateur du domaine et rajoutez-le à nouveau au domaine.
• Pour confirmer que le problème d'appartenance au domaine est résolu, essayez de vous connecter à un serveur membre du domaine sur votre réseau via un chemin UNC.
  Par exemple, si le nom de votre serveur fichier est CompanyShare, lors d'une invite de commande Windows, saisissez \\CompanyShare. Si vous ne pouvez pas accéder à ce dossier et que le message d'erreur de permission de Windows s'affiche, vérifiez les paramètres sur le serveur Active Directory : paramètres de l'ordinateur, paramètres du compte utilisateur et la relation d'approbation.

Utilisateur Inconnu

Cette erreur peut avoir comme cause :

• Des fichiers de journal d'événements qui n'existent pas ou sont pleins
• Un ordinateur qui n'est pas un membre du domaine
• Tentatives de connexion SSO par des utilisateurs RDP lorsque le logiciel du composant SSO doit être mis à jour
  Vous devez exécuter v11.10 ou ultérieure pour que les utilisateurs puissent faire une connexion RDP avec SSO.
• Les ID de l'Événement Windows qui ne sont pas pris en charge par les composants SSO de Watchguard
• Un utilisateur qui n'est pas connecté

SMB via port TCP 445 pas ouvert sur le serveur distant. Vérifiez le pare-feu.

Le port TCP 445 n'est pas ouvert sur l'ordinateur de l'utilisateur, ou le service qui écoute le port TCP 445 n'a pas répondu.

Hôte distant 'x.x.x.x' au statut déconnecté

Aucun utilisateur n'est connecté ou l'utilisateur qui était connecté a entamé le processus de déconnexion.

Le chemin du réseau est introuvable

Il n'existe pas de route vers l'hôte.

1. Ouvrez une session telnet et connectez-vous à SSO Agent via le port 4114.
2. Saisissez set debug on et appuyez sur Entrée pour exécuter la commande.
3. Fermez la session telnet.
4. Accédez au répertoire correspondant :
   • C:\Program Files\WatchGuard\WatchGuard Authentication Gateway\
   • C:\Program Files (x86)\WatchGuard\WatchGuard Authentication Gateway\
5. Copiez ce fichier suivant sur le bureau : wagsrvc.log.
6. Ouvrez une session telnet et connectez-vous à SSO Agent via le port 4114.
7. Saisissez set debug off et appuyez sur Entrée pour exécuter la commande.
8. Fermez la session telnet.

1. Connectez-vous à votre domaine à partir d'un ordinateur client.
2. Sur l'ordinateur client, accédez au répertoire correspondant :
   • C:\Program Files\WatchGuard\WatchGuard Authentication Gateway\
   • C:\Program Files (x86)\WatchGuard\WatchGuard Authentication Client\
   • Users\[Nom d'Utilisateur]\Library\Logs\WatchGuard\SSO Client
3. Copiez les fichiers suivants sur le bureau :
   • wgssoclient_logfile.log
   • wgssoclient_errorfile.log

1. Ouvrez WatchGuard System Manager (WSM) et connectez-vous au Firebox.
2. Démarrez Policy Manager.
3. Sélectionnez Configurer > Journalisation.
   La boîte de dialogue Configurer la Journalisation s'affiche.
4. Cliquez sur Niveau du journal de diagnostic.
   La boîte de dialogue du niveau du journal de diagnostic s'affiche.
5. Dans l'arborescence des catégories, sélectionnez Authentification.
6. Déplacez le curseur Paramètres pour sélectionner le niveau Informations.
7. Cliquez sur OK pour fermer toutes les boîtes de dialogue.
8. Enregistrez le fichier de configuration dans votre Firebox.
9. Lancez Firebox System Manager (FSM) sur le Firebox.
10. Sélectionnez l'onglet Traffic Monitor.
11. Après avoir lancé FSM et sélectionné l'onglet Traffic Monitor, connectez-vous à un ordinateur sur lequel SSO Client est installé.
12. Vous génèrerez des messages de journal ADMD consultables dans Traffic Monitor.
13. Dans l'onglet Traffic Monitor de FSM, dans la zone de texte de recherche, saisissez ADMD puis dans la liste déroulante des options de recherche, sélectionnez Filtrer les résultats de la recherche.
14. Traffic Monitor affiche uniquement les messages de journal ADMD.
15. Faites un clic droit à n'importe quel endroit de Traffic Monitor puis sélectionnez Tout Copier.
16. Collez les messages de journal ADMD dans un fichier texte puis enregistrez ce dernier sur le bureau en le nommant SSO_firewall_logs.txt.
17. Répétez les étapes 2 à 8 pour restaurer le paramètre d'origine (par exemple « Erreur ») du Niveau de Journal de Diagnostic pour la catégorie Authentification.

1. Ouvrez un incident d'assistance via le WatchGuard Support Center.
2. Si vous n'êtes pas connecté au site Web de WatchGuard, connectez-vous avant de créer un incident.
3. Joignez les fichiers suivants :

• SSO Agent — wagsrvc.log
• SSO Client — wgssoclient_logfile.log et wgssoclient_errorfile.log
• Firebox — SSO_firewall_logs.txt