Configurer la politique d'authentification

Cette section présente la configuration de la politique d'authentification à réaliser pour mettre en œuvre des tunnels VPN SSL. Vous pouvez cliquer sur Appliquer à tout moment pour sauvegarder vos modifications.

  1. Rendez-vous dans Configuration > Utilisateurs > Authentification, onglet Politique d'authentification.

  2. Identifiez la Méthode à utiliser si aucune règle ne peut être appliquée.

Écran montrant un exemple de politique d'authentification sur un firewall SNS en version 5. La méthode à utiliser si aucune règle ne peut être appliquée est encadrée en rouge.

Poursuivez selon le cas qui s'applique.

Cas n°1 : La méthode "LDAP" est sélectionnée et seule cette méthode est utilisée sur le firewall SNS

La configuration actuelle de la politique d'authentification est suffisante. Poursuivez vers la section Configurer le portail captif.

Cas 2 : Dans tous les autres cas

Dans tous les autres cas (restriction au strict nécessaire de l'authentification sur le firewall SNS, utilisation de l'authentification multifacteur, etc.), vous devez ajouter au moins deux règles à la politique d'authentification pour permettre aux utilisateurs de s'authentifier avec le client VPN SSL Stormshield et établir des tunnels VPN SSL.

Pour renforcer la sécurité, il est recommandé de créer ces deux règles pour chaque groupe d'utilisateurs établissant des tunnels VPN SSL avec le firewall SNS. Toutefois, vous pouvez décider de créer seulement deux règles pour tous les utilisateurs, sans distinction particulière.

Concernant la première règle : elle permet aux utilisateurs et aux clients VPN SSL Stormshield configurés en mode Stormshield de se connecter au portail captif du firewall SNS. Les clients VPN SSL Stormshield peuvent ainsi récupérer automatiquement la configuration VPN SSL et transmettre au firewall SNS les informations permettant de vérifier la conformité du poste client (ZTNA).

  1. Cliquez sur Nouvelle règle > Règle standard.

  2. Dans l'onglet Utilisateur, sélectionnez un utilisateur ou un groupe d'utilisateurs d'un annuaire du firewall SNS (comme finance@domain.tld). Si souhaité, vous pouvez sélectionner tous les utilisateurs d'un annuaire avec le choix Any user@domain.tld. Sur les versions SNS 5, vous pouvez également sélectionner tous les utilisateurs de tous les annuaires du firewall SNS en cochant Tous les utilisateurs (any).

  3. Dans l'onglet Source, ajoutez l'interface de provenance des connexions VPN SSL (par exemple out).

  4. Dans l'onglet Méthodes d'authentification :

    1. Supprimez la ligne Méthode par défaut.

    2. Activez la méthode permettant aux utilisateurs et aux clients VPN SSL Stormshield de se connecter au portail captif du firewall SNS, par exemple LDAP ou RADIUS.

    3. Si une authentification multifacteur est utilisée (authentification avec un code à usage unique), positionnez le sélecteur Mot de passe à usage unique sur ON Image du sélecteur positionné sur "ON".

  5. Cliquez sur OK.

Concernant la seconde règle : elle permet aux utilisateurs d'établir des tunnels VPN SSL depuis leurs clients VPN SSL vers le firewall SNS.

  1. Cliquez sur Nouvelle règle > Règle standard.

  2. Dans l'onglet Utilisateur, sélectionnez le même utilisateur ou groupe d'utilisateurs que celui de la première règle.

  3. Dans l'onglet Source, ajoutez l'interface VPN SSL.

  4. Dans l'onglet Méthodes d'authentification :

    1. Supprimez la ligne Méthode par défaut.

    2. Activez la méthode permettant aux utilisateurs d'établir des tunnels VPN SSL depuis leurs clients VPN SSL vers le firewall SNS, par exemple LDAP ou RADIUS.

    3. Si une authentification multifacteur est utilisée (authentification avec un code à usage unique), positionnez le sélecteur Mot de passe à usage unique sur ON Image du sélecteur positionné sur "ON".

  5. Cliquez sur OK.

NOTE
Lors d'une authentification sur le firewall SNS, les règles de la politique d'authentification sont examinées dans l’ordre de leur numérotation.