Installer l'Agent WatchGuard Single Sign-On (SSO) et Event Log Monitor

Dans le cadre de la solution WatchGuard Single Sign-On (SSO), il est nécessaire d'installer WatchGuard SSO Agent sur un serveur de domaine de votre réseau. Ce serveur peut être le contrôleur de domaine ou un autre serveur membre du domaine.

Event Log Monitor est inclus dans le programme d'installation de SSO Agent, mais il s'agit d'une fonctionnalité facultative.

Avant l'installation

Pour de plus amples informations concernant la compatibilité du système d'exploitation et les détails de fonctionnement de SSO Agent et d'Event Log Monitor, consultez Comment fonctionne Active Directory SSO ?.

Avant de lancer le programme d'installation WatchGuard Authentication Gateway pour installer SSO Agent, vérifiez que .NET Framework v4.0 ou ultérieur est installé sur le serveur pour lequel vous souhaitez installer le service WatchGuard Authentication Gateway. Si la version de .NET Framework installée n'est pas la bonne, SSO Agent ne peut pas s'exécuter correctement.

Configurer les Comptes de Service et la Stratégie de Domaine

WatchGuard SSO Agent et WatchGuard Authentication Gateway s'exécutent comme services sur votre serveur. Ces étapes de configuration sont obligatoires :

  • Exécutez le service avec un compte d'utilisateur membre du groupe de sécurité Utilisateurs du Domaine. Il est nécessaire de configurer les autorisations de sécurité indiquées à la section suivante.
  • Appliquez la stratégie de domaine à tous les ordinateurs de domaine que l'Event Log Monitor contacte.

WatchGuard recommande ces méthodes :

  • Créez un compte d'utilisateur à cet effet.
  • Configurez un mot de passe pour le compte qui n'expire jamais.

Configurer un compte d'Utilisateur de Domaine

Si vous sélectionnez un compte d'utilisateur qui est un membre du groupe de sécurité Utilisateurs du Domaine, vérifiez que :

  • Le compte d'utilisateur a les droits nécessaires pour éxécuter des services sur le serveur Active Directory, pour faire des recherches dans l'annuaire et pour chercher toute autre information d'audit des utilisateurs.
  • Les permissions de sécurité requises décrites dans cette section sont configurées pour l'utilisateur de compte.

Pour ajouter un compte d'utilisateur membre du groupe de sécurité Utilisateurs du Domaine avec les permissions de sécurité requises :

  1. Ajoutez un nouveau compte d'utilisateur Active Directory.
    Par exemple : [email protected].
    Le compte d'utilisateur est ajouté par défaut au groupe de sécurité Utilisateurs du domaine.
  2. Dans l'Éditeur de Gestion des Stratégies de Groupe, spécifiez les permissions Gérer l'audit et le journal de sécurité pour le compte d'utilisateur :
    1. Sélectionnez Configuration de l'Ordinateur > Stratégies > Paramètres Windows > Paramètres de Sécurité > Affectation des Droits d'Utilisateur > Gérer l'audit et le journal de sécurité.
    2. Sous l'onglet Paramètres de Stratégie de Sécurité, ajoutez l'utilisateur que vous avez créé à l'Étape 1.
  3. Appliquez la nouvelle stratégie de domaine à tous les ordinateurs du domaine.
    Event Log Monitor a maintenant les autorisations nécessaires pour lire le journal des événements de sécurité Windows sur l'ordinateur client du domaine et obtenir les bonnes informations d'identification.

Messages de Journal

Pour voir les messages de journal de débogage de SSO Agent et d'Event Log Monitor, recherchez les fichiers wagsrvc.log et eventlogmonitor.log dans le répertoire d'installation pour chaque composant.

Pour de plus amples informations sur les messages de journal, consultez À propos des Fichiers Journaux SSO.

Télécharger le logiciel SSO Agent

  1. Accédez à la page de Téléchargement des Logiciels WatchGuard.
  2. Trouvez la page de téléchargements de logiciels pour votre Firebox.
  3. Téléchargez le programme d'installation de WatchGuard Authentication Gateway. Celui-ci comprend SSO Agent et Event Log Monitor.

Installer SSO Agent et Event Log Monitor

Lorsque vous installez SSO Agent et Event Log Monitor, suivez ces recommandations :

  • (Fireware v12.1.1 et versions antérieures) Si vous possédez plusieurs domaines, installez SSO Agent sur un seul contrôleur de domaine de votre réseau.
  • (Fireware v12.2 et versions ultérieures) Pour ajouter une redondance, vous pouvez installer SSO Agent sur quatre contrôleurs de domaine de votre réseau au maximum. Seul un SSO Agent est actif simultanément. Si l'agent actif devient indisponible, le basculement s'effectue vers le SSO Agent suivant spécifié dans la configuration du Firebox.
  • Au moment d'exécuter le programme d'installation pour installer uniquement Event Log Monitor, n'oubliez pas de supprimer la coche du composant SSO Agent.
  • Pour installer un autre composant WatchGuard Authentication Gateway sur un ordinateur où vous en avez déjà installé un, exécutez une nouvelle fois le programme d'installation et cochez les cases au regard du nouveau composant et du composant précédemment installé. Si vous ne cochez pas la case au regard du composant précédemment installé, celui-ci sera désinstallé.
    Par exemple, si vous avez déjà installé SSO Agent et que vous voulez ajouter Event Log Monitor, exécutez à nouveau le programme d'installation et vérifiez que les cases de SSO Agent et de Event Log Monitor sont bien cochées. Si vous décochez la case de SSO Agent, celui-ci sera désinstallé.

Le SSO Agent v12.5.4 prend en charge uniquement Fireware v12.5.4 ou les versions ultérieures. Avant d'installer le SSO Agent v12.5.4, vous devez mettre à niveau le Firebox à Fireware v12.5.4 ou les versions ultérieures. Si vous installez le SSO Agent v12.5.4, nous vous recommandons de mettre à niveau tous les SSO Clients vers la version v12.5.4. Vous ne pouvez pas utiliser SSO Client v12.5.4 avec des versions de SSO Agent antérieures à v12.5.4.

Pour installer SSO Agent et Event Log Monitor :

  1. Double-cliquez sur WG-Authentication-Gateway.exe.
    Pour exécuter le programme d'installation sur certains systèmes d'exploitation, il peut s'avérer nécessaire de taper un mot de passe d'administrateur local ; sinon, cliquez avec le bouton droit de la souris et sélectionnez Exécuter en Tant qu'Administrateur.
    L'assistant Authentication Gateway Setup Wizard démarre.
  2. Pour installer le logiciel, suivez les instructions données à chaque page et allez jusqu'au bout de l'assistant.
  3. Sur la page Sélectionner les composants, n'oubliez pas de cocher la case de chaque composant à installer :
    • Single Sign-On Agent
    • Event Log Monitor
  4. Sur la page Identifiants de l'utilisateur au domaine, pensez à taper le nom d'utilisateur sous la forme : domaine\nom d'utilisateur.
    Un suffixe de domaine (par exemple, .com ou .net) est facultatif, mais nous vous recommandons de spécifier un suffixe. Par exemple, exemple.com\nomutilisateur.
    Vous pouvez aussi spécifier le nom d'utilisateur sous la forme de nom principal d'utilisateur [email protected]. Si vous utilisez le nom principal d'utilisateur, vous devez inclure la partie .com ou .net du nom de domaine.
  5. Cliquez sur Terminer pour fermer l'assistant.

Une fois l'Assistant fermé, le service WatchGuard Authentication Gateway démarre automatiquement. À chaque démarrage de l'ordinateur, le service démarre automatiquement.

À l'issue de l'installation de WatchGuard Authentication Gateway, vous devez configurer les paramètres de domaine pour SSO Agent et pour Event Log Monitor. Pour plus d'informations, consultez Configurer le SSO Agent d’Active Directory

Voir Également

À propos de Active Directory Single Sign-On (SSO)

Comment fonctionne Active Directory SSO ?

Choisir les Composants de Votre Active Directory SSO

Configurer le SSO Agent d’Active Directory

Configurer SSO Event Log Monitor

Dépanner Active Directory SSO