Définir un nouvel Utilisateur pour l'Authentification Firebox

L'authentification Firebox, de même connue comme authentification Firebox-DB, vous permet de stocker sur votre Firebox les comptes d'utilisateur que vous créez pour donner l'accès à votre réseau à vos utilisateurs. Pour assurer la sécurité des informations d'identification de chaque compte d'utilisateur stockés sur votre Firebox, le mot de passe que vous spécifiez pour chaque compte d'utilisateur est chiffré avec une table de hachage NT dans le fichier de configuration du périphérique. Lorsque le fichier de configuration est exporté vers un fichier texte en clair (pour la communication entre le Firebox et un outil de gestion de configuration du périphérique Fireware, par exemple), le mot de passe est chiffré à l'aide d'un chiffrement de clé AES de type WRAP.

Créer des Comptes d'Utilisateur

Vous pouvez créer des comptes utilisateur pour l'authentification Firebox et spécifier les utilisateurs pouvant s'authentifier sur votre Firebox. Vous pouvez également spécifier si les noms d'utilisateur que vous définissez dans la base de données interne du Firebox sont sensibles à la casse. Lorsque la sensibilité à la casse est activée, les utilisateurs doivent saisir leur nom d'utilisateur avec la casse que vous avez utilisée lorsque vous avez défini les comptes d'utilisateur.

Longueur Minimale du Mot de Passe

Dans Fireware v12.2.1 ou les versions supérieures, vous devez spécifier le nombre minimal de caractères pour un mot de passe. Vous pouvez spécifier une valeur comprise entre 8 et 32 caractères. Les mots de passe plus longs sont plus sûrs.

Le paramètre de longueur minimale du mot de passe s'applique à:

Les nouveaux comptes Firebox-DB ajoutés dans le serveur Firebox-DB, le Portail d'Accès et les configurations Mobile VPN with IKEv2.
Les nouveaux comptes de gestion Firebox (comptes admin et état)
Les nouveaux comptes d'Accès à l'Assistance

Ce paramètre ne contrôle que la longueur minimale du mot de passe. La longueur maximale du mot de passe est de 32 caractères et ne peut pas être modifiée.

Les mots de passe pour les utilisateurs actuels de Firebox-DB ne sont pas modifiés lorsque vous effectuez une mise à niveau vers Fireware v12.2.1 ou une version ultérieure, mais tout nouveau mot de passe sélectionné pour les comptes actuels doit respecter l'exigence de mot de passe minimale. Par exemple, si vous déverrouillez un compte d'utilisateur et sélectionnez l'option permettant de réinitialiser le mot de passe, le nouveau mot de passe doit respecter la longueur minimale requise.

Autoriser un nombre illimité de sessions de connexion simultanées

Par défaut, l'option Autoriser des connexions simultanées d'authentification illimitées au pare-feu à partir d'un même compte est sélectionnée. Cette option permet à plusieurs utilisateurs de s'authentifier sur le serveur d'authentification en même temps. Cette option est utile pour les comptes invités ou les environnements de laboratoire.

Les paramètres globaux d'authentification pour les sessions d'utilisateur simultanées ne s'appliquent pas aux sessions de mobile VPN.

Limiter les sessions de connexion

Pour limiter vos utilisateurs à un nombre spécifique de sessions authentifiées, sélectionnez Limiter les sessions d'utilisateur simultanées à. Si vous sélectionnez cette option, vous pouvez spécifier le nombre de fois que vos utilisateurs peuvent utiliser les mêmes informations d'identification pour se connecter à un serveur d'authentification à partir de différentes adresses IP. Lorsqu'un utilisateur authentifié essaie de s'authentifier à nouveau, vous pouvez opter soit pour la fermeture de la session du premier utilisateur lorsque la seconde session est authentifiée, soit pour le rejet de la seconde session.

Vous pouvez configurer les limites de session de connexion au niveau global, du groupe et de l'utilisateur.

Les paramètres utilisateur ont priorité sur le groupe et les paramètres globaux.
Si les limites de session de connexion de l'utilisateur ne sont pas configurées, les paramètres de groupe prévalent, s'ils sont configurés.
Si un utilisateur appartient à plusieurs groupes, les paramètres du premier groupe de la liste des groupes de l'utilisateur sont prioritaires.
Si les limites de session de connexion utilisateur ou groupe ne sont pas configurées, les paramètres globaux sont utilisés.

Pour créer des comptes d'utilisateurs pour l'authentification Firebox à partir de Fireware Web UI :

Sélectionnez Authentification > Serveurs.
La page Serveurs d'Authentification s'affiche.
Dans la liste Serveurs d'Authentification, sélectionnez Firebox-DB.
La page Firebox s'affiche avec l'onglet Utilisateurs et Groupes sélectionné par défaut.

Capture d'écran de la page Utilisateurs Firebox

Pour activer la sensibilité à la casse et exiger que vos utilisateurs entrent leur nom d'utilisateur avec une capitalisation spécifique, cochez la case Activer la casse des noms d'utilisateur Firebox-DB.
(Fireware v12.2.1 ou ultérieure) Dans la zone de texte Longueur minimale du mot de passe, entrez un nombre compris entre 8 et 32.
Dans la section Utilisateurs Firebox, cliquez sur Ajouter.
La boîte de dialogue Utilisateur Firebox s'affiche.

Capture d'écran de la boîte de dialogue Configuration d'utilisateur Firebox

Dans la zone de texte Nom d'utilisateur, entrez le nom de cet utilisateur.
(Facultatif) Dans la zone de texte Description, entrez la description du nouvel utilisateur.
Tapez puis confirmez le nouveau mot de passe pour l'utilisateur. Astuce !
Le mot de passe peut comporter des lettres, chiffres, caractères spéciaux et espaces, mais ne peut pas contenir que des espaces.
Dans la zone de texte Délai d'expiration de la session, entrez ou sélectionnez la durée maximale durant laquelle l'utilisateur peut envoyer du trafic au réseau externe. Astuce !
Dans la zone de texte Délai d'Inactivité, entrez ou sélectionnez la durée durant laquelle l'utilisateur peut rester authentifié tout en étant inactif (pas d'envoi de trafic au réseau externe). Astuce !
Cochez la case Activer les limites de connexion pour chaque utilisateur ou groupe.
Sélectionnez une option :
- Autoriser les connexions d'authentification de pare-feu simultanées illimitées depuis un même compte
- Limiter les sessions d'utilisateurs simultanés à
  1. Dans la zone de texte, tapez ou sélectionnez le nombre de sessions utilisateurs simultanées autorisées.
  2. Dans la liste déroulante, sélectionnez une option :
    - Rejeter les tentatives de connexion suivantes
    - Autoriser les tentatives de connexion suivantes et déconnecter la première session.
  Pour limiter les sessions utilisateur simultanées pour les utilisateurs Mobile VPN, vous devez utiliser les comptes utilisateur Mobile VPN with IKEv2 et Firebox-DB. Vous ne pouvez pas limiter les sessions utilisateur simultanées pour les utilisateurs Mobile VPN with IKEv2 avec des comptes sur des serveurs d'authentification tiers. Vous ne pouvez pas limiter les sessions utilisateur simultanées pour les utilisateurs Mobile VPN with L2TP, Mobile VPN with SSL ou Mobile VPN with IPSec avec des comptes Firebox-DB ou des comptes sur des serveurs d'authentification tiers.

Pour ajouter cet utilisateur à un groupe d'authentification, dans la liste Groupe authentification Firebox, cochez la case pour chaque groupe auquel ajouter cet utilisateur.
Pour voir cette liste, défilez vers le bas si nécessaire.
Cliquez sur OK.
Le nouvel utilisateur apparaît dans la liste des utilisateurs Firebox.

Pour créer des comptes d'utilisateurs pour l'authentification Firebox à partir de Policy Manager :

Sélectionnez Configuration > Authentification > Serveurs d'Authentification.

La boîte de dialogue Serveurs d'Authentification s'affiche.

Capture d'écran de la boîte de dialogue Serveurs d'authentification, onglet Firebox

Pour activer la sensibilité à la casse et exiger que vos utilisateurs entrent leur nom d'utilisateur avec une capitalisation spécifique, cochez la case Activer la casse des noms d'utilisateur Firebox-DB.
(Fireware v12.2.1 ou ultérieure) Dans la zone de texte Longueur minimale du mot de passe, entrez un nombre compris entre 8 et 32.
Dans l'onglet Firebox, dans la section Utilisateurs, cliquez sur Ajouter.

La boîte de dialogue Configuration d'utilisateur Firebox s'affiche.

Capture d'écran de la boîte de dialogue Configuration d'utilisateur Firebox

Dans la zone de texte Nom, entrez le nom de ce compte d'utilisateur.
(Facultatif) Dans la zone de texte Description, entrez la description du nouvel utilisateur.
Tapez puis confirmez le nouveau mot de passe pour l'utilisateur. Astuce !
Le mot de passe peut comporter des lettres, chiffres, caractères spéciaux et espaces, mais ne peut pas contenir que des espaces.
Dans la zone de texte Délai d'expiration de la session, entrez ou sélectionnez la durée maximale durant laquelle l'utilisateur peut envoyer du trafic au réseau externe. Astuce !
Dans la zone de texte Délai d'inactivité, entrez ou sélectionnez la durée durant laquelle l'utilisateur peut rester authentifié tout en étant inactif (quand l'utilisateur n'envoie pas de trafic au réseau externe). Astuce !
Cochez la case Activer les limites de connexion pour chaque utilisateur ou groupe.
Sélectionnez une option :
- Autoriser les connexions d'authentification de pare-feu simultanées illimitées depuis un même compte
- Limiter les sessions d'utilisateurs simultanés à
  1. Dans la zone de texte, tapez ou sélectionnez le nombre de sessions utilisateurs simultanées autorisées.
  2. Dans la liste déroulante, sélectionnez une option :
    - Rejeter les tentatives de connexion suivantes
    - Autoriser les tentatives de connexion suivantes et déconnecter la première session.
  Pour limiter les sessions utilisateur simultanées pour les utilisateurs Mobile VPN, vous devez utiliser les comptes utilisateur Mobile VPN with IKEv2 et Firebox-DB. Vous ne pouvez pas limiter les sessions utilisateur simultanées pour les utilisateurs Mobile VPN with IKEv2 avec des comptes sur des serveurs d'authentification tiers. Vous ne pouvez pas limiter les sessions utilisateur simultanées pour les utilisateurs Mobile VPN with L2TP, Mobile VPN with SSL ou Mobile VPN with IPSec avec des comptes Firebox-DB ou des comptes sur des serveurs d'authentification tiers.
Pour ajouter un utilisateur à un groupe d'authentification Firebox, sélectionnez le nom du groupe dans la liste Disponible.
Cliquez sur pour déplacer le nom dans la liste Membre.
Vous pouvez également double-cliquer sur le nom du groupe dans la liste Disponible.
Le groupe est ajouté à la liste des Membres. Vous pouvez ensuite ajouter plusieurs groupes pour cet utilisateur.
Cliquez sur OK.
Le nouvel utilisateur apparaît dans la liste des utilisateurs Firebox.

Configurer les Paramètres de Verrouillage de Compte

Vous pouvez activer le Verrouillage de Compte pour éviter les attaques en force visant à deviner les mots de passe des comptes d'utilisateur. Lorsque le Verrouillage de Compte est activé, le Firebox verrouille temporairement un compte d'utilisateur à l'issue du nombre spécifié de tentatives répétées de connexion et verrouille de manière permanente un compte d'utilisateur à l'issue du nombre spécifié de verrouillages de compte temporaires.

Pour les étapes détaillées de la configuration du Verrouillage de Compte, consultez Configurer les Paramètres de Verrouillage de Compte du Firebox.

Voir Également

Configurer Votre Firebox en tant que Serveur d'Authentification

Définir un nouveau Groupe pour l'Authentification Firebox

Utiliser les Utilisateurs et Groupes dans les Stratégies

© 2023 WatchGuard Technologies, Inc. Tous droits réservés. WatchGuard et le logo WatchGuard sont des marques déposées de WatchGuard Technologies, Inc. aux États-Unis et/ou dans d'autres pays. Toutes les autres marques appartiennent à leurs propriétaires respectifs.