Autoriser les utilisateurs mobiles à établir un tunnel VPN IPsec

La méthode proposée consiste à créer un groupe contenant tous les utilisateurs mobiles autorisés à établir un tunnel VPN IPsec, puis à attribuer le droit adéquat à ce groupe.

Créer un groupe contenant tous les utilisateurs autorisés à établir un tunnel VPN IPsec

Dans le cas d'un annuaire LDAP interne, allez dans le module Configuration > Utilisateurs > Utilisateurs :

  1. Cliquez sur Ajouter un groupe.
  2. Dans le champ Nom de Groupe, saisissez un nom représentatif (exemple : Mobile_Users).
    Vous pouvez ajouter une description.
  3. Cliquez sur Ajouter.
    Une ligne s'ajoute dans la grille des membres du groupe.
  4. Tapez les premières lettres de l'utilisateur à ajouter au groupe et sélectionnez l'utilisateur souhaité dans la liste proposée par le firewall.
  5. Répétez les étapes 3 et 4 pour ajouter l'ensemble des utilisateurs devant appartenir à ce groupe.
  6. Lorsque tous les membres ont été ajoutés, cliquez sur Appliquer.
  7. Validez en cliquant sur Sauvegarder.

Dans le cas d'un annuaire externe (Microsoft Active Directory, LDAP ou LDAP de type Posix), ce groupe devra être créé directement sur l'une des machines hébergeant l'annuaire.

Vérifier que la méthode d'authentification pour les utilisateurs nomades repose sur LDAP

Allez dans le module Configuration > Utilisateurs > Authentification > onglet Politique d'authentification.

Si aucune règle d'authentification n'est présente dans la grille

Vérifiez que le champ Méthode à utiliser si aucune règle ne peut être appliquée est bien positionné sur LDAP :

Si des règles d'authentification sont déjà présentes dans la grille

Ajoutez une règle d'authentification LDAP pour les utilisateurs provenant du VPN IPsec :

  1. Cliquez sur Nouvelle règle et choisissez Règle standard.
  2. Dans le champ Utilisateur ou groupe, sélectionnez le groupe précédemment créé (Mobile_Users dans l'exemple).
  3. Dans le menu de gauche de cette fenêtre, sélectionnez la section Source.
  4. Cliquez sur Ajouter une interface et sélectionnez VPN IPsec.
  5. Dans le menu de gauche de cette fenêtre, sélectionnez la section Méthodes d'authentification.
  6. Sélectionnez la ligne de la grille comportant Méthode par défaut et cliquez sur Supprimer.
  7. Cliquez sur Autoriser une méthode et sélectionnez LDAP.
  8. Cliquez sur OK.
  9. Faites un double-clic dans la cellule correspondant à la colonne État afin d'activer cette règle.
    Son état passe à ON.
  10. Cliquez sur Appliquer puis sur Sauvegarder.

La règle d'authentification obtenue est donc la suivante :

Autoriser les utilisateurs mobiles à établir un tunnel VPN IPsec

Dans le module Configuration > Utilisateurs > Droit d'accès > onglet Accès détaillé :

  1. Cliquez sur Ajouter.
    Une ligne s'ajoute dans la grille.
  2. Cliquez dans la cellule de cette ligne correspondant à la colonne Utilisateur - groupe d'utilisateurs.
  3. Tapez les premières lettres du groupe et sélectionnez le dans la liste proposée par le firewall.
  4. Cliquez dans la cellule de cette ligne correspondant à la colonne IPSEC et sélectionnez Autoriser.
  5. Faites un double-clic dans la cellule de cette ligne correspondant à la colonne État pour afficher Activé.
  6. Cliquez sur Appliquer.

Les utilisateurs contenus dans ce groupe sont désormais autorisés à établir des tunnels IPsec :