Utilisation d'un annuaire externe
Cette fonctionnalité n’est pas couverte par la cible de sécurité.
Diverses fonctionnalités, dont l’authentification des administrateurs, nécessitent la connexion à un annuaire. Lorsque ce dernier est externe au pare-feu SNS, la sécurité (confidentialité et intégrité) des flux échangés doit être assurée et l’authentification des équipements (pare-feu, serveur d'administration et serveur d’annuaire) doit être réalisée. Dans le cas contraire, un attaquant peut obtenir des informations de connexion.
Si le service LDAP est configuré, il est recommandé :
D’utiliser le protocole LDAPS, le serveur LDAP présentant un certificat signé par une IGC maîtrisée,
D’importer l’AC correspondante sur le pare-feu SNS ou le serveur SMC,
D’utiliser l’AC précédemment importée pour valider la connexion au serveur LDAP.
La mise en place d’une authentification à partir d’un annuaire externe se réalise en plusieurs étapes :
-
Activer l’utilisation de l’annuaire (menu Configuration > Utilisateurs > Configuration des annuaires), choisir son type puis paramétrer l’accès :
-
L’adresse de l’annuaire,
-
La base DN,
-
Le port de communication,
-
L’identifiant et le mot de passe du compte d’accès du pare-feu SNS sur l’annuaire. Ce compte doit respecter la recommandation R8,
-
Le hachage des mots de passe.
-
-
Définir la structure de l’annuaire (onglet Structure). La correspondance entre les attributs manipulés par le pare-feu SNS et ceux présents dans l’annuaire LDAP doit être établie. L’attribut Stormshield member (qui contient la liste des identifiants appartenant à un groupe) doit en particulier correspondre à son équivalent dans l’annuaire LDAP,
-
Définir LDAP comme méthode d’authentification par défaut (menu Configuration > Utilisateurs > Authentification).