Configurer SSO Event Log Monitor
Après avoir installé Event Log Monitor, vous devez configurer les paramètres de port, de journal d'événement et de Stratégie de Groupe pour votre réseau. Vous devez aussi configurer SSO Agent pour qu'il utilise Event Log Monitor.
Pour une explication détaillée du fonctionnement d'Event Log Monitor, consultez Comment fonctionne Active Directory SSO ?.
Pour de plus amples informations concernant l'installation d'Event Log Monitor, consultez la section Installation de WatchGuard SSO Exchange Monitor.
Meilleures pratiques
Pour un déploiement de SSO le plus fiable possible, nous vous recommandons d'utiliser SSO Client comme méthode SSO principale et Event Log Monitor comme méthode SSO de secours. Pour des informations sur la manière de configurer ces méthodes de déploiement, consultez Démarrage Rapide — Configurer Single Sign-On (SSO) avec Active Directory.
Si SSO Client n'est pas installé sur les ordinateur de l'utilisateur, ou si les ordinateurs de l'utilisateur ne sont pas disponibles, vous pouvez utiliser Event Log Monitor comme méthode SSO principale pour les utilisateurs Windows. Ceci s'appelle clientless SSO. Pour clientless SSO, vous configurez SSO Agent afin qu'il obtienne les informations de connexion de l'utilisateur à partir de WatchGuard SSO Event Log Monitor installé sur votre réseau network. Event Log Monitor interroge toutes les adresses IP sur votre réseau toutes les cinq secondes pour trouver de nouveaux événements de connexion Windows. Les Event Log Monitors sont installés sur un ou plusieurs serveurs membres de domaine dans chaque domaine.
Pour une meilleure performance de VPN et SSO, nous vous recommandons de ne pas utiliser Event Log Monitor via un tunnel BOVPN.
Pour configurer le SSO sans client chez les utilisateurs macOS, Linux, iOS, Android ou Windows Mobile, il est nécessaire d'utiliser WatchGuard SSO Exchange Monitor. Exchange Monitor est installé sur le même ordinateur sur lequel votre serveur Microsoft Exchange est installé. Pour des informations sur la manière de configurer Exchange Monitor, consultez Configurer SSO Exchange Monitor.
Prise en charge IPv6
IPv6 est pris en charge par Fireware v12.3 et les versions ultérieures. Si les ordinateurs de l’utilisateur de votre réseau ont des adresses IPv4 et IPv6, nous vous recommandons d'activer l'assistance IPv4 et IPv6 sur les serveurs où Event Log Monitor ou SSO Agent sont installés.
Le trafic IPv4 et IPv6 est traité séparément dans des environnements utilisant ces deux adresses. Par exemple, un nom d'utilisateur jsmith dispose d'un ordinateur avec des adresses IPv4 et IPv6. Dans la liste des Utilisateurs authentifiés sur le Firebox, deux sessions différentes apparaissent pour l'utilisateur jsmith.
Pour afficher l'adresse IPv6 d'un Utilisateur authentifié :
- Fireware Web UI - Sélectionnez État du système > Liste d’authentification.
- Foyer System Manager - Sélectionnez l'onglet Liste d'authentification.
Conditions Préalables
Avant d'installer et de configurer Event Log Monitor, vérifiez que votre configuration réseau prend en charge ces conditions.
Ports
Avant de configurer et d'activer les paramètres pour clientless SSO, assurez-vous que les ordinateurs clients sur votre domaine prennent en charge une des ces options :
- Le port TCP 445 est ouvert
- Le Partage de fichiers et d'imprimantes est activé
Si le port TCP 445 n'est pas ouvert, Event Log Monitor ne peut pas obtenir d'informations sur l'utilisateur ou le groupe et SSO ne fonctionne pas correctement. Pour tester si le port 445 est ouvert, vous pouvez utiliser l'outil Testeur de Port SSO. Pour davantage d'informations, consultez Dépanner SSO.
Journaux d'Événements Windows
Event Log Monitor utilise les événements de connexion Windows pour SSO. Pour permettre à Event Log monitor d'obtenir les informations d'identification utilisateur nécessaires pour SSO, sur tous les ordinateurs Windows de votre réseau, vous devez vous assurer que Windows Event Log est actif et génère des journaux pour de nouveaux événements. Vous devez aussi activer la journalisation d'audit sur tous les ordinateurs du domaine Windows pour ces événements :
- 4624 et 4634
- 4647, 4778 et 4779, si votre réseau Windows est configuré pour un Basculement Rapide d'Utilisateur
Avant que les utilisateurs Remote Desktop Protocol (RDP) peuvent utiliser Event Log Monitor pour SSO, les événements Microsoft 4624 et 4634 doivent être générés sur leurs ordinateurs clients et contenir des attributs de Type de Connexion. Ces attributs indiquent si un événement de connexion ou de déconnexion a eu lieu sur le réseau local ou par le biais d'un RDP. Les attributs 2 et 11 spécifient les événements de connexion et de déconnexion locaux. L'attribut 10 spécifie un événement de connexion ou de déconnexion RDP.
Stratégies de Groupe
Sur votre contrôleur de domaine, vous devez configurer les stratégies de groupe qui exigent des clients Windows qu'ils auditent les événements de connexion.
- Ouvrez l'Éditeur d'objets de stratégie de groupe et modifiez la Stratégie de domaine par défaut.
- Assurez-vous que dans Stratégie d'audit (Configuration ordinateur > Paramètres Windows > Paramètres de sécurité > Stratégies locales > Stratégie d'audit), les stratégies Auditer les événements de connexion aux comptes et Auditer les événements de connexion sont activées.
- Ouvrez une invite de commande et exécutez la commande gpupdate/force/boot.
Un message de configuration apparaît.
Configurer les Paramètres de Contact de SSO Agent
Avant que Event Log Monitor puisse envoyer les informations de connexion de l'utilisateur à SSO Agent, vous devez configurer les paramètres de Contact de SSO Agent pour permettre à SSO Agent de se connecter à Event Log Monitor. Vous devez ajouter un domaine de contact (le nom de domaine et l'adresse IP de Event Log Monitor), si vous avez :
- Un domaine et que SSO Agent n'est pas installé sur votre contrôleur de domaine
- Plus d'un domaine et Event Log Monitor est installé sur un domaine différent que SSO Agent
Pour configurer les paramètres de Contacts de SSO Agent :
- Connectez-vous à l'Outil de Configuration de SSO Agent.
- Sélectionnez Modifier > Paramètres des Contacts de SSO Agent.
La boîte de dialogue Paramètres des Contacts de SSO Agent s'affiche. - Dans la liste Contacts de SSO Agent, cochez la case Event Log Monitor.
- Pour changer la position d'Event Log Monitor dans la liste des Contacts de SSO Agent , cochez la case Event Log Monitor et cliquez sur Vers le haut ou Vers le bas.
Il est impossible de modifier la position d'Exchange Monitor. Si vous utilisez SSO Client, assurez-vous que SSO Client soit le premier sur la liste. Si vous mettez SSO Client en contact principal et que SSO Client est indisponible, SSO Agent contacte ensuite Event Log Monitor, causant toutefois un éventuel retard. - Ajoutez, modifiez ou supprimez un domaine de contact pour Event Log Monitor, tel que décrit dans les sections suivantes.
- Cliquez sur OK.
Ajouter un Domaine de Contact
Une fois que vous avez installé Event Log Monitor sur les domaines de votre réseau et que vous avez permis à SSO Agent de contacter Event Log Monitor pour obtenir les informations de connexion de l'utilisateur, vous pouvez configurer SSO Agent avec les adresses IP de chaque Event Log Monitor, afin que SSO Agent puisse obtenir les informations de connexion de l'utilisateur depuis chaque Event Log Monitor de votre réseau.
Si vous spécifiez plusieurs Event Log Monitor dans la liste Domaines des contacts, SSO Agent interroge la première entrée dans la liste pour obtenir les informations d'identification de l'utilisateur et les informations du groupe. Si le premier Event Log Monitor n'est pas disponible, le SSO Agent contacte le Event Log Monitor suivant dans la liste. Ce processus se poursuit jusqu'à ce que l'agent SSO trouve un Event Log Monitor disponible.
À partir de la boîte de dialogue Paramètres de Contact de SSO Agent :
- Cliquez sur Ajouter.
La boîte de dialogue Paramètres du Domaine s'affiche.
- Pour l'option Type, sélectionnez Event Log Monitor.
- Dans la zone de texte Nom du domaine, entrez le nom du domaine avec lequel vous voulez que Event Log Monitor entre en contact pour obtenir les informations d'identification.
Vous devez taper le nom dans le format domaine.com. - Dans la zone de texte Adresses IP d'Event Log Monitor, saisissez les adresses IPv4 pour Event Log Monitor. Dans Fireware v12.3 ou une version ultérieure, vous pouvez saisir des adresses IPv6.
Pour spécifier plus d'une adresse IP pour Event Log Monitor, séparez les adresses IP par un point virgule, sans espaces. - Cliquez sur OK.
Les informations de domaine que vous avez indiquées apparaissent dans la liste Domaines des Contacts.
Modifier un domaine de contact
À partir de la boîte de dialogue Paramètres de Contact de SSO Agent :
- Dans la liste Domaines de contact, sélectionnez le domaine à modifier.
- Cliquez sur Modifier.
La boîte de dialogue Paramètres du Domaine s'affiche. - Mettez à jour les paramètres du domaine.
- Cliquez sur OK.
Supprimer un domaine
À partir de la boîte de dialogue Paramètres de Contact de SSO Agent :
- Dans la liste Domaines de contact, sélectionnez le domaine à supprimer.
- Cliquez sur Supprimer.
Le domaine est supprimé de la liste. - Cliquez sur OK.
Tester la Connexion au Port SSO
Pour vérifier que le SSO Agent peut contacter Event Log Monitor, vous pouvez utiliser l'outil Testeur de port SSO. Pour davantage d'informations, consultez Dépanner SSO.
Voir Également
À propos de Active Directory Single Sign-On (SSO)
Comment fonctionne Active Directory SSO ?
Installer l'Agent WatchGuard Single Sign-On (SSO) et Event Log Monitor