À propos de l'Authentification des Utilisateurs
Lorsque vous configurez le Firebox en tant que serveur d'authentification, le Firebox stocke les comptes utilisateur que vous créez pour permettre aux utilisateurs d'accéder à votre réseau.
L'authentification Firebox est souvent utilisée par les organisations qui ne disposent pas d'un serveur d'authentification tiers et qui n'ont pas besoin de gérer les comptes utilisateur de manière centralisée pour plusieurs applications. L'authentification Firebox fonctionne avec les stratégies, tous les types de VPN, l'accès de gestion et toutes les autres fonctionnalités du Firebox qui authentifient les utilisateurs.
Fonctionnement de l'Authentification Utilisateur
L'authentification des utilisateurs est un processus qui vérifie si l'utilisateur est bien celui qu'il prétend être, ainsi que les privilèges qui lui sont attribués. Sur votre Firebox, un compte d'utilisateur comporte deux parties : un nom d'utilisateur et un mot de passe. Chaque utilisateur authentifié est associé à une adresse IP. L'association du nom d'utilisateur, du mot de passe et de l'adresse IP aide l'administrateur du périphérique à surveiller les connexions qui passent par le périphérique. L'authentification permet aux utilisateurs de se connecter au réseau à partir de n'importe quel ordinateur en n'ayant accès qu'aux seuls protocoles et ports réseau pour lesquels ils détiennent une autorisation. Le Firebox peut ainsi mapper les connexions établies à partir d'une adresse IP donnée et transmettre également le nom de la session lors de l'authentification de l'utilisateur.
Utiliser l'Authentification avec les Stratégies de Pare-feu et les Utilisateurs/Groupes
Vous pouvez établir des stratégies de pare-feu pour donner à des utilisateurs ou à des groupes un accès à des ressources réseau spécifiques. Ceci peut être utile dans les environnements de réseau où différents utilisateurs partagent un même ordinateur ou une même adresse IP.
Pour préparer votre Firebox en tant que serveur d'authentification :
- Divisez votre entreprise en groupes en fonction des tâches que les gens font et des informations dont ils ont besoin
- Créez des utilisateurs pour les groupes
- Attribuez des groupes et des utilisateurs aux stratégies
À propos des Serveurs d'Authentification
Vous pouvez utiliser votre Firebox en tant que serveur d'authentification local, ou utiliser votre serveur d'authentification Active Directory ou LDAP existant, ou un serveur d'authentification RADIUS. Si votre Firebox exécute Fireware v12.7 ou une version ultérieure, vous pouvez également activer et utiliser le serveur d'authentification AuthPoint afin d'exiger une authentification multifacteur (MFA) lorsque les utilisateurs s'authentifient.
Lorsque vous utilisez l'authentification à Firebox via le port 4100, les privilèges de compte peuvent se fonder sur un nom d'utilisateur. En présence d'une authentification tierce, les privilèges liés aux comptes des utilisateurs qui s'authentifient auprès du serveur d'authentification tierce sont basés sur l'appartenance à un groupe de sécurité.
À propos de l'Authentification des Utilisateurs avec la MFA AuthPoint
Les Fireboxes exécutant Fireware v12.7 ou une version ultérieure intègrent un serveur d'authentification AuthPoint. Si vous utilisez AuthPoint, vous pouvez activer et utiliser le serveur d'authentification AuthPoint de manière à exiger une authentification multifacteur (MFA) lorsque les utilisateurs s'authentifient.
Cela facilite la configuration de la MFA AuthPoint pour :
- Mobile VPN with SSL
- Mobile VPN with IKEv2
- Firebox Web UI
- Portail d'Authentification Firebox
Par défaut, le serveur d'authentification AuthPoint du Firebox est désactivé. Pour activer le serveur d'authentification AuthPoint de votre Firebox, vous devez ajouter le Firebox en tant que ressource Firebox dans AuthPoint. Pour consulter les étapes détaillées d'ajout d'une ressource Firebox dans AuthPoint, consultez la section Configurer la MFA pour un Firebox.
Pour activer le serveur d'authentification AuthPoint sur votre Firebox, vous devez enregistrer et connecter le Firebox à WatchGuard Cloud en tant que Firebox géré localement. Pour obtenir des instructions détaillées concernant l'enregistrement et la connexion du Firebox à WatchGuard Cloud, consultez la section Ajouter un Firebox Géré Localement à WatchGuard Cloud.
Après avoir ajouté la ressource Firebox dans AuthPoint, le serveur d'authentification AuthPoint est activé sur votre Firebox. Pour ajouter la MFA, vous devez configurer le Firebox pour utiliser le serveur d'authentification AuthPoint.
- Mobile VPN with SSL — Dans Fireware, configurez AuthPoint en tant que serveur d'authentification principal de votre configuration Mobile VPN with SSL
Si vous ajoutez le serveur d'authentification AuthPoint à la configuration Mobile VPN with SSL, les utilisateurs doivent télécharger et utiliser le client WatchGuard Mobile VPN with SSL v12.7 ou une version ultérieure ou le client SSL OpenVPN.
- Mobile VPN with IKEv2 — Dans Fireware, configurez AuthPoint en tant que serveur d'authentification principal de votre configuration Mobile VPN with IKEv2
- Portail d'Authentification Firebox — Dans Fireware, spécifiez AuthPoint en tant que serveur d'authentification pour les utilisateurs et les groupes.
- Fireware Web UI — Dans Fireware, accédez à Système > Utilisateurs et Rôles puis ajoutez les utilisateurs de Gestion des Périphériques avec AuthPoint en tant que serveur d'authentification.
Si vous possédez un serveur d'authentification existant nommé AuthPoint, ce serveur d'authentification est Automatiquement renommé en AuthPoint.1 si vous :
- Mettez à niveau votre Firebox vers Fireware v12.7.
- Utilisez WSM ou Policy Manager v12.7 ou une version ultérieure pour gérer un Firebox exécutant Fireware 12.6.x ou une version antérieure.
Si votre serveur d'authentification AuthPoint RADIUS existant est renommé et qu'il n'est pas le serveur d'authentification par défaut, les utilisateurs doivent saisir le nouveau nom du serveur d'authentification (AuthPoint.1) lorsqu'ils se connectent et utilisent ce serveur d'authentification.
Comment les Utilisateurs Authentifiés sont Suivis
La fonctionnalité d'authentification des utilisateurs de WatchGuard associe un nom d'utilisateur à une adresse IP spécifique, ce qui vous permet d'authentifier les connexions d'un utilisateur via le périphérique et d'en assurer le suivi. Avec un périphérique, la question fondamentale qui se pose à chaque connexion est Dois-je autoriser le trafic de la source X vers la destination Y ?. Pour que la fonctionnalité d'authentification de WatchGuard fonctionne correctement, l'adresse IP de l'ordinateur d'un utilisateur ne doit pas changer tant que cet utilisateur est authentifié sur le périphérique.
L'authentification, la gestion des comptes et le contrôle des accès (ACC) sont pris en charge par votre Firebox sur la base d'une association stable entre une adresse IP et un utilisateur. Dans la plupart des environnements, la relation entre une adresse IP et l'ordinateur de l'utilisateur n'est pas assez stable pour être utilisée pour une authentification. Pour les environnements dans lesquels l'association d'un utilisateur et d'une adresse IP n'est pas constante, tels que les bornes ou les réseaux sur lesquels les applications sont lancées depuis un Terminal Server, nous vous recommandons d'utiliser Terminal Services Agent pour une authentification sécurisée. Pour plus d'informations, consultez Installer et Configurer Terminal Services Agent.
À propos de Single Sign-On (SSO)
La fonctionnalité d'authentification des utilisateurs WatchGuard prend également en charge l'authentification sur un domaine d'Active Directory avec Single Sign-On (SSO), ainsi que d'autres serveurs d'authentification courants. De plus, elle prend en charge les paramètres d'inactivité et les limites de temps imposées aux sessions. Ces contrôles restreignent la durée pendant laquelle une adresse IP est autorisée à passer des données via le périphérique avant que l'utilisateur ne doive entrer de nouveau son mot de passe (s'authentifier à nouveau).
Si vous utilisez une liste d'autorisation pour contrôler l'accès SSO et si vous gérez les délais d'inactivité, les délais d'expiration de sessions et les utilisateurs autorisés à s'authentifier, vous améliorerez le contrôle de l'authentification, de la gestion des comptes et du contrôle des accès. Pour être certain qu'un utilisateur ne puisse s'authentifier, vous devez désactiver le compte de cet utilisateur sur le serveur d'authentification.
Authentification et Prise en Charge IPv6
Si vous avez configuré votre appareil avec une adresse IPv6, vous pouvez utiliser cette dernière pour l'authentification Firebox sur le port 4100. Vous pouvez également utiliser votre périphérique pour réaliser des connexions IPv6 avec des adresses IPv6 vers les clients lorsque vous utilisez un serveur d'authentification tierce avec une adresse IPv4, tel qu'un serveur RADIUS.
Pour dépanner l'authentification des utilisateurs, nous vous recommandons de créer une stratégie test. Puis, essayez de vous authentifier au Firebox comme un utilisateur membre du groupe que vous avez spécifié dans la stratégie test.
Voir Également
Étapes d'Authentification des Utilisateurs
Gérer les Utilisateurs authentifiés
Types de Serveurs d'Authentification
Configurer Votre Firebox en tant que Serveur d'Authentification