Onglet « Méthodes disponibles »

Cet écran propose de choisir une ou plusieurs méthodes d’authentification et de les configurer.

Les interactions

Certaines opérations, listées dans la barre des tâches, peuvent être réalisées en effectuant un clic droit sur la grille des méthodes disponibles :

  • Supprimer (la méthode sélectionnée).

Méthodes d’authentification

La colonne de gauche est dédiée à la liste des méthodes d’authentification. La colonne de droite affiche les options de paramétrage de la méthode d’authentification sélectionnée.

Le bouton Ajouter une méthode ouvre une liste déroulante vous proposant de choisir parmi 8 méthodes d’authentification, que vous pourrez Supprimer si besoin. Ces méthodes sont les suivantes :

  • LDAP
  • Certificat (SSL)
  • RADIUS
  • Kerberos
  • Authentification transparente (SPNEGO)
  • Agent SSO
  • Invités
  • Comptes temporaires
  • Parrainage

Lorsque la gestion des comptes temporaires est activée sur le firewall, la méthode Comptes temporaires est automatiquement affichée dans la colonne des méthodes d'authentification.

LDAP

La configuration de cette méthode est automatique et nécessite l’implémentation d’une base LDAP, vous devez vous rendre dans le menu Utilisateurs\Configuration de l’annuaire pour y accéder.

Certificat (SSL)

Après avoir sélectionné votre méthode d’authentification dans la colonne de gauche, vous pouvez saisir ses informations dans la colonne de droite, qui présente les éléments suivants :

Liste des autorités de confiance (C.A)

La méthode d’authentification SSL peut accepter l’utilisation de certificats signés par une autorité de certification externe au firewall. Pour cela il est nécessaire d’ajouter cette autorité de certification dans la configuration du firewall de façon à ce que celui-ci accepte tous les certificats effectivement signés par cette autorité.

Si l’autorité de certification est elle-même signée par une autre autorité de certification, il est possible de rajouter cette autorité dans la liste des CA de confiance pour ainsi créer une "Chaîne de confiance".

Lorsqu’une CA de confiance ou une chaîne de CA de confiance est spécifiée dans la configuration de la méthode d’authentification SSL, elle s’ajoute à la CA interne du firewall implicitement vérifiée dès qu’il existe une autorité racine interne valide sur le firewall.

Ajouter

L’ajout d’une autorité de certification dans la liste des autorités de certification de confiance permet d’accepter cette autorité comme autorité reconnue et de valider tous les certificats signés par cette autorité de certification.

En cliquant sur le bouton Ajouter, puis sur l’icône s’affichant sur la ligne sélectionnée, on accède à la fenêtre des CA (Cf. Certificats et PKI).

 

Si l’autorité de certification à laquelle vous désirez faire confiance ne fait pas partie de la liste des certificats externes, cliquez sur le bouton Sélectionner de la fenêtre des certificats externes pour ajouter cette autorité de certification dans la liste.

 

Les firewalls supportent les autorités racines multi niveaux - certificat de l’utilisateur à authentifier signé par une autorité de certification, elle-même signée par une autorité de certification supérieure. Vous pouvez insérer toute la chaine de certification créée par cette autorité racine multi-niveaux.

 

Pour que toute la chaîne soit correctement prise en compte, il est important d’insérer l’ensemble de la chaîne des autorités entre l’autorité la plus haute que vous avez inséré et l’autorité directement supérieure au certificat utilisateur.

Supprimer

Supprime l’autorité de certification sélectionnée.

Autorité de certification (C.A) : Ce champ laisse apparaître les certificats auxquels vous faites confiance et que vous serez amenés à utiliser.


Il est possible de modifier le champ du sujet du certificat qui sera utilisé pour rechercher l’utilisateur dans le LDAP. Il est également possible de modifier le champ LDAP utilisé pour la recherche. Par défaut, l’e-mail est utilisé dans les deux cas. Ces paramètres sont configurables en commande CLI.

Configuration avancée

Vous pouvez activer la recherche parmi plusieurs annuaires LDAP.

Différents critères peuvent alors être définis : pour un annuaire donné, il est possible d'indiquer une chaîne de caractères à rechercher dans un champ déterminé du certificat. Cette chaîne est à définir sous forme d'expression régulière.

Activer la recherche multi-annuaires (authentification SSL)

Cocher cette case permet d'activer la recherche des utilisateurs au sein de plusieurs annuaires LDAP et donne accès à la grille des critères de recherche.

Liste des critères de recherche

Chaque critère est défini par un champ de certificat, une expression régulière et un annuaire LDAP.

Vous pouvez Ajouter, Supprimer, Monter ou Descendre un critère dans la liste à l'aide des boutons du même nom. Ces critères sont évalués selon l'ordre défini dans la grille.

Champ

Cette liste déroulante permet de sélectionner le champ du certificat dans lequel les chaines de caractères sont recherchées.

Expression régulière Saisissez l'expression régulière définissant les chaînes à rechercher dans le champ du certificat.
Domaine ou annuaire Sélectionnez l'annuaire LDAP à parcourir pour authentifier les utilisateurs dont le champ de certificat défini contient une chaine correspondanr à l'expression régulière.

RADIUS

RADIUS est un protocole d’authentification standard, fonctionnant en mode client-serveur. Il permet de définir les accès réseau à des utilisateurs distants. Ce protocole est doté d’un serveur relié à une base d’identification (annuaire LDAP etc.). Le firewall Stormshield Network peut se comporter comme un client RADIUS. Il peut alors adresser, à un serveur RADIUS externe, des demandes d’authentification pour les utilisateurs désirant traverser le firewall. L’utilisateur ne sera authentifié que si le RADIUS accepte la demande d’authentification envoyée par le firewall.

Toutes les transactions RADIUS (communications entre le firewall et le serveur RADIUS) sont elles-mêmes authentifiées par l’utilisation d’un secret pré-partagé, qui n’est jamais transmis sur le réseau. Ce même secret sera utilisé pour chiffrer le mot de passe de l’utilisateur, qui transitera entre le firewall et le serveur RADIUS.

Après avoir sélectionné votre méthode d’authentification dans la colonne de gauche, vous pouvez saisir ses informations dans la colonne de droite, qui présente les éléments suivants :

Accès au serveur

Lorsque la méthode RADIUS est sélectionnée, l’authentification RADIUS est activée. Ce menu vous permet de préciser les informations relatives au serveur RADIUS externe utilisé et d’un éventuel serveur RADIUS de sauvegarde. Pour chacun, la configuration nécessite de renseigner les informations présentées dans le tableau suivant :

 

Serveur

Adresse IP du serveur RADIUS.

Port

Port utilisé par le serveur RADIUS. Par défaut, le port 1812 / UDP nommé RADIUS est sélectionné.

Clé prépartagée

Clé utilisée pour le chiffrement des échanges entre le firewall et le serveur RADIUS.

Serveur de secours

Serveur

Adresse IP du serveur de secours.

Port

Port utilisé pour le serveur de secours, si le serveur principal n'est plus accessible. Par défaut, le port 1812 / UDP nommé RADIUS est sélectionné.

Clé prépartagée

Clé utilisée pour le chiffrement des échanges entre le firewall et le serveur de secours.

REMARQUE

Le firewall tente de se connecter 2 fois au serveur RADIUS "principal", en cas d’échec il tente de se connecter 2 fois au serveur RADIUS "backup". Si le serveur RADIUS "backup" répond, il bascule en tant que serveur RADIUS "principal". Au bout de 600 secondes, un nouveau basculement s’opère, l’ancien serveur RADIUS "principal" redevient "principal".

Kerberos

Kerberos diffère des autres méthodes d'authentification. Plutôt que de laisser l'authentification avoir lieu entre chaque machine cliente et chaque serveur, Kerberos utilise un cryptage symétrique, le centre distributeur de tickets (KDC, Key Distribution Center) afin d'authentifier les utilisateurs sur un réseau.

Dans ce processus d’authentification le boîtier agit comme un client qui se substitue à l’utilisateur pour  demander une authentification. Cela signifie que même si l’utilisateur est déjà authentifié sur le KDC pour son ouverture de session Windows par exemple, il faut tout de même se ré-authentifier auprès de ce serveur même si les informations de connexion sont identiques, pour traverser le firewall.

Après avoir sélectionné votre méthode d’authentification dans la colonne de gauche, vous pouvez saisir ses informations dans la colonne de droite, qui présente les éléments suivants :

Nom de domaine (FQDN)

Nom de domaine attribué au serveur pour la méthode d’authentification Kerberos. La définition de ce nom de domaine permet de masquer l’adresse IP du serveur et d’en simplifier la recherche.

Exemple : www.compagnie.com : compagnie.com représente le nom de domaine, plus lisible son adresse IP correspondante : 91.212.116.100.

Accès au serveur

Serveur

Adresse IP du serveur pour la méthode d’authentification Kerberos (Active Directory par exemple)

Port

Port utilisé par le serveur. Par défaut, le port 88/UDP nommé Kerberos_udp est sélectionné.

Serveur de secours

Serveur

Adresse IP de rechange du serveur Active Directory pour la méthode d’authentification Kerberos.

Port

Port utilisé par le serveur de secours, si le serveur n'est plus accessible. Par défaut, le port 88/UDP nommé Kerberos_udp est sélectionné.

Authentification transparente (SPNEGO)

La méthode SPNEGO permet le fonctionnement du "Single Sign On" pour l’authentification Web avec un serveur d’authentification externe Kerberos. Cela signifie qu’un utilisateur se connectant à son domaine par une solution basée sur un serveur Kerberos serait automatiquement authentifié sur un firewall Stormshield Network dans le cas d’un accès à l’Internet (nécessitant une authentification dans la politique de filtrage sur le firewall) grâce à un navigateur Web (Internet Explorer, Firefox, Mozilla).

Pour mettre en œuvre cette méthode, vous devez au préalable exécuter le script de génération de KEYTAB spnego.bat sur le contrôleur de domaine. Ce script est disponible depuis votre Espace privé, rubrique Base de Connaissance – en version Anglaise EN - (article "Where can I find the last version of the ''spnego.bat'' script?").

REMARQUE

Les paramètres demandés lors de l’exécution du script sont sensibles à la casse et doivent être scrupuleusement respectés car ils ne pourront être modifiés par la suite. En cas d’erreur, il faudra restaurer une sauvegarde du contrôleur de domaine re-procéder à l’installation.

Dans le cas d’un firewall non configuré en haute disponibilité, il est recommandé d’indiquer le numéro de série du firewall plutôt que son nom pour l’identifier (Ce nom correspond au nom indiqué dans le script Stormshield Network livré avec le matériel d’installation). Le Nom du service sera le numéro de série précédé de la mention « HTTP/ ». Exemple : HTTP/U70XXAZ0000000

Dans le cas d’un firewall en haute disponibilité, l’identifiant devant être commun, il est recommandé d’utiliser le nom du certificat du portail d’authentification (CN) renseigné dans l’onglet Portail captif du module Authentification.

La configuration de SPNEGO sur le firewall est réalisée grâce aux options expliquées dans le tableau suivant :

Nom du service

Ce champ représente le nom du service Kerberos utilisé par le firewall, obtenu après exécution du script spnego.bat

Nom de domaine

Nom de domaine du serveur Kerberos. Il correspond au nom complet du domaine Active Directory et doit être écrit en majuscules.

KEYTAB

Ce champ représente le secret partagé, généré lors de l'utilisation du script sur l'Active Directory. Ce secret doit être fourni au firewall afin qu'il puisse communiquer avec l'Active Directory. Il est également fourni par le script spnego.bat

Agent SSO

L’Authentification Unique ou Single Sign-On (SSO) permet à un utilisateur de ne procéder qu'à une seule authentification pour accéder à plusieurs services. 

La méthode Agent SSO requiert l’installation de l’application Stormshield Network SSO Agent, service Windows permettant aux Firewalls Stormshield Network de bénéficier de l’authentification sur l’annuaire Windows Active Directory de manière transparente. Pour l’installation de cette application, reportez-vous à la note technique Stormshield Network SSO Agent - Installation et déploiement.

Lorsqu’un utilisateur se connecte au domaine Windows par l’ouverture de sa session, celui-ci est automatiquement authentifié sur le Firewall. Le principe est le suivant : l’Agent SSO collecte l’information de l’identification d’un utilisateur sur le domaine en se connectant à distance sur l’observateur d’événements du contrôleur de domaine. L’Agent SSO relaie ensuite ces informations au Firewall par une connexion SSL, qui met à jour sa table des utilisateurs authentifiés.

Depuis la version 3 de firmware, il est possible de déclarer jusqu'à 5 agents SSO, permettant ainsi de gérer l'authentification sur 5 domaines Windows Active Directory dépourvus de relation d'approbation. Ces domaines devront préalablement être déclarés en tant qu'annuaires LDAP externes de type Microsoft Active Directory (module Utilisateurs > Configuration des annuaires). Les agents SSO supplémentaires seront intitulé Agent SSO 1, Agent SSO 2, ...

Après avoir ajouté cette méthode, vous pouvez saisir les informations relatives à sa configuration.

Agent SSO

Nom de domaine

Sélectionner l'annuaire Microsoft Active Directory correspondnat au domaine sur lequel les utilisateurs seront authentifiés. Cet annuaire devra préalablement être paramétré via le module Configuration des annuaires.

 
Agent SSO
Adresse IP

Adresse IP du serveur de la machine hébergeant Stormshield Network SSO Agent.

Port

Par défaut, le port "agent_ad" est sélectionné, correspondant au port 1301. Le protocole utilisé est TCP.

Clé prépartagée.

Cette clé est utilisée pour le chiffrement en SSL des échanges entre l’Agent SSO (machine hébergeant Stormshield Network SSO Agent) et le Firewall.

Renseignez la clé pré-partagée (mot de passe) définie lors de l’installation de l’Agent SSO.

Confirmer la clé prépartagée

Confirmer la même clé partagée/ mot de passe que dans le champ précédent.

Force de la clé prépartagée

Ce champ indique le niveau de sécurité de votre mot de passe : « Très Faible », « Faible », « Moyen », « Bon » ou « Excellent ». Il est fortement conseillé d’utiliser des majuscules et des caractères spéciaux.

Agent SSO de secours

Les champs de configuration de l’agent SSO de secours sont les mêmes que décrits précédemment.

Contrôleur de domaine

Vous devez ajouter tous les contrôleurs de domaine régissant le domaine Active Directory sélectionné. Ceux-ci doivent être enregistrés dans la base Objet du Firewall.

Ajouter un contrôleur de domaine

Cliquez pour sélectionner ou créer l’objet correspondant. Vous devez ajouter tous les contrôleurs qui régissent le domaine. Ceux-ci doivent au préalable être enregistrés dans la base Objet du Firewall.

NOTE

Un seul domaine est géré par le firewall, car un unique annuaire peut être configuré.

Configuration Avancée
Durée maximum d’authentification

Définissez la durée maximum de la session d’un utilisateur authentifié. Passé ce délai, le Firewall supprime l’utilisateur de sa table d’utilisateurs authentifiés, déconnectant ainsi l’utilisateur du Firewall.

 

Ce seuil est à définir en secondes ou minutes. Il est par défaut fixé à 36000 secondes, soit 10 heures.

Délai des mises à jour des groupes d’utilisateurs

Si l’annuaire Active Directory est configuré sur le Firewall (Module Configuration de l’annuaire), le Firewall consulte les éventuelles modifications apportées aux groupes de l’annuaire LDAP. Le Firewall met alors à jour sa configuration de l’annuaire, puis envoie ces informations à l’Agent SSO.

 

Cette durée définie en secondes, minutes ou heures, est fixée par défaut à 3600 secondes, soit 1 heure.

 

Détection des connexions

Cette option permet de supprimer les utilisateurs authentifiés lorsqu’une machine associée se déconnecte ou lorsqu’une session est fermée. Ce test des machines connectées au Firewall s’effectue soit par la méthode PING, soit par la méthode Base de Registre.

Sans l’activation de cette méthode, l’utilisateur ne sera déconnecté uniquement après la durée d’authentification fixée, même en cas de fermeture de sa session.

Méthode de détection

Sélectionnez entre les méthodes de déconnexion PING  ou Base de Registre :

PING

L’agent SSO teste l'accessibilité de toutes les machines authentifiées sur le Firewall toutes les 60 secondes par défaut.

Dans le cas d’une réponse host unreachable ou d’absence de réponse d’une adresse IP après un délai défini ci-après, l’Agent SSO envoie une demande de déconnexion au Firewall. Ce dernier supprime alors l’utilisateur associé à l’adresse IP de sa table d’utilisateurs authentifiés, déconnectant ainsi l’utilisateur du Firewall.

Base de Registre

La Base de registre (BDR) est une base de données utilisée par le système d'exploitation Windows pour stocker les informations de configuration du système et des logiciels installés. Cette méthode permet par exemple de détecter une session fermée sur une machine toujours allumée.

Dans le cas d’une réponse positive au test (PING), l’Agent SSO se connecte à distance sur la machine et vérifie dans la Base de Registre la liste des utilisateurs ayant une session ouverte sur la machine. Cela permet de mettre à jour la table des utilisateurs authentifiés du firewall.

 

Considérer comme déconnecté après

Si une machine ne répond pas au test d’accessibilité (PING) après ce délai, elle est considérée comme déconnectée. Le Firewall supprime alors l’utilisateur associé à la machine de sa table d’utilisateurs authentifiés.

Cette durée est déterminée en secondes, minutes ou heures et est fixée par défaut à 5 minutes.

Détection des connexions

Cette option permet de supprimer les utilisateurs authentifiés lorsqu’une machine associée se déconnecte ou lorsqu’une session est fermée. Ce test des machines connectées au Firewall s’effectue soit par la méthode PING, soit par la méthode Base de Registre.

Sans l’activation de cette méthode, l’utilisateur ne sera déconnecté uniquement après la durée d’authentification fixée, même en cas de fermeture de sa session.

 

Activer la vérification DNS des machines

Cette option permet de gérer les changements d'adresses IP des postes utilisateurs et d'authentifier un utilisateur connecté sur une machine disposant de plusieurs adresses IP.

Invités

Ce mode permet une identification sans authentification, pour l’accès à un réseau WiFi public, par exemple. Cette méthode déclenche automatiquement l’affichage de conditions d'utilisation d'accès à Internet. Ces conditions sont personnalisables dans l’onglet Portail captif. La fréquence de cet affichage validant l’authentification, est par défaut de 18 heures et peut être modifiée dans le paramétrage de cette méthode (disclaimertime).

La connexion de ces utilisateurs « invités » est notifiée dans les traces par l’ajout des adresses MAC sources. Cette identification est vérifiée toutes les 4 heures, ce réglage est paramétrable par la commande CLI suivante :

CONFIG AUTH GUEST (exemple : state=1 logontime=14400 disclaimertime= 64800)

NOTE 

Dans la politique de sécurité, l’objet Utilisateur à sélectionner pour correspondre à la méthode Invités est « Tous ».

Fréquence d'affichage des Conditions d'utilisation de l'accès à Internet

Avec cette méthode, des Conditions d'utilisation d'accès à Internet - communément appelé Disclaimer - sont systématiquement affichées à l’utilisateur. Une case signifiant son accord est à cocher par l’utilisateur avant d’être s’authentifié.

 

Ces conditions sont personnalisables dans l’onglet « Portail Captif ».

 

Si la fonctionnalité est également activée dans les profils du portail captif, cette fréquence d’affichage est distincte de celle paramétrée pour les autres méthodes.

Comptes temporaires

Ce service permet la gestion de comptes dont la durée de validité est limitée. Ces comptes sont destinés à fournir temporairement un accès Internet public à des personnes externes à l'entreprise. Les comptes temporaires ne sont pas enregistrés dans le ou les annuaire(s) LDAP déclaré(s) sur le firewall.

Durée de validité par défaut d'un nouveau compte (jours)Ce champ permet de fixer une durée de validité (en jours) qui sera proposée par défaut lors de la création d'un nouveau compte temporaire.
Accéder à la liste des comptes temporairesCe raccourci vous renvoie directement vers le module Utilisateurs > Comptes temporaires afin de gérer (ajouter, modifier, supprimer) ces comptes.

Parrainage

Ce mode permet une identification sans authentification au travers du portail captif. Elle nécessite la saisie par le filleul de ses nom et prénom, ainsi que de l'adresse e-mail du parrain. Le parrain reçoit alors un e-mail contenant un lien pour valider cette requête. Suite à la validation, le filleul est automatiquement redirigé du portail captif vers la page Web demandée.

Durée minimale d’authentification

Définissez la durée minimale d'une session pour un utilisateur parrainé.

 

Ce seuil est à définir en minutes, heures ou jours. Il est par défaut fixé à 15 minutes.

Durée maximale d’authentification

Définissez la durée maximale d'une session pour un utilisateur parrainé. Passé ce délai, le Firewall déconnecte l’utilisateur.

 

Ce seuil est à définir en minutes, heures ou jours. Il est par défaut fixé à 240 minutes, soit 4 heures.