Précisions sur les cas d’utilisation

Authentification

Si un utilisateur identifié par l’Agent SSO utilise un autre identifiant du domaine sur son poste de travail, cela peut annuler son identification sur le firewall. En effet, cette seconde identification est relayée par le contrôleur du domaine qui remplace la session initiale. Ces cas se présentent notamment pour les accès suivants :

  • Connexion sur un intranet avec la méthode kerberos et/ou ntlm,
  • Montage de ressources partagées distantes (fichiers, imprimantes) via le protocole SMB,
  • Connexion RDP Terminal Services sur un serveur distant.

Syslog

Les échanges avec le serveur Syslog doivent s'effectuer en UDP. Ce protocole n'offrant aucune garantie de confidentialité ni d'intégrité, nous vous recommandons de sécuriser les échanges entre votre annuaire non Windows (par exemple Samba 4) et votre serveur Syslog afin d'écarter un risque potentiel de sécurité (usurpation d'adresse IP, injection de messages Syslog non autorisés vers votre firewall, etc.).

Sécurisez ces échanges par le biais d'une segmentation du réseau physique ou par VLAN, via un tunnel IPsec, SSH ou SSL, ou encore en positionnant en relai un serveur Syslog TLS entre les deux machines concernées.