Configurer l’authentification

Rendez-vous dans Configuration > Utilisateurs > Authentification.

Ajouter la méthode d'authentification RADIUS (facultatif)

Si vous utilisez une authentification multifacteur pour les connexions VPN SSL, la méthode RADIUS permet de connecter le firewall SNS à votre serveur RADIUS (préalablement configuré), lui-même connecté à votre solution d’authentification multifacteur (préalablement configurée).

  1. Positionnez-vous dans l'onglet Méthodes disponibles.

  2. Cliquez sur Ajouter une méthode ou Activer une méthode, puis cliquez sur RADIUS.

  3. Suivez les indications. Pour plus d'informations sur les champs à remplir, reportez-vous à la section Authentification du manuel utilisateur v4 ou v3 de la version SNS utilisée.

  4. Si une méthode d'authentification multifacteur Mode Push est utilisée, vous devez modifier le timeout RADIUS afin de laisser aux utilisateurs un délai suffisant pour s'authentifier. Par exemple pour 30 secondes, utilisez les commandes CLI / Serverd suivantes :

    CONFIG AUTH RADIUS timeout=30000
    CONFIG AUTH RADIUS btimeout=30000
    CONFIG AUTH ACTIVATE

Configurer la politique d'authentification

  1. Positionnez-vous dans l'onglet Politique d'authentification.

  2. Dans la zone Méthode par défaut, champ Méthode à utiliser si aucune règle ne peut être appliquée, repérez la méthode spécifiée. Poursuivez ensuite selon le cas qui s'applique.

Le firewall utilise la méthode par défaut LDAP et j'utilise exclusivement cette méthode

La configuration actuelle est suffisante. Poursuivez vers la section Configurer le portail captif.

Dans tous les autres cas

Dans tous les autres cas (restriction au strict nécessaire de l'authentification, utilisation de l'authentification multifacteur, TOTP, ...), vous devez ajouter 2 règles. Vous pouvez aussi créer des règles pour des groupes d'utilisateurs spécifiques pour augmenter la sécurité. À noter que les règles sont examinées dans l’ordre de leur numérotation lors d’une authentification.

Ajoutez une première règle :

  1. Cliquez sur Nouvelle règle > Règle standard.

  2. Dans l'onglet Utilisateur, champ Utilisateur ou groupe, sélectionnez le groupe d'utilisateurs concerné. Any user@ concerne tous les utilisateurs du domaine.

  3. Dans l'onglet Source, cliquez sur Ajouter une interface et sélectionnez l'interface externe par laquelle l'authentification sera réalisée (par exemple out).

  4. Dans l'onglet Méthodes d'authentification, dans la grille, sélectionnez la ligne Méthode par défaut et cliquez sur Supprimer.

  5. Cliquez sur Autoriser une méthode et sélectionnez la méthode (LDAP, RADIUS, ...) permettant de se connecter au portail captif du firewall et de récupérer la configuration VPN.

Ajoutez une seconde règle :

  1. Cliquez sur Nouvelle règle > Règle standard.

  2. Dans l'onglet Utilisateur, champ Utilisateur ou groupe, sélectionnez le groupe d'utilisateurs concerné. Any user@ concerne tous les utilisateurs du domaine.

  3. Dans l'onglet Source, cliquez sur Ajouter une interface et sélectionnez VPN SSL.

  4. Dans l'onglet Méthodes d'authentification, dans la grille, sélectionnez la ligne Méthode par défaut et cliquez sur Supprimer.

  5. Cliquez sur Autoriser une méthode et sélectionnez la méthode (LDAP, RADIUS, ...) permettant d'établir les tunnels VPN SSL.

Configurer le portail captif

  1. Positionnez-vous dans l'onglet Portail captif, grille Correspondance entre profil d'authentification et interface, et cliquez sur Ajouter.

  2. Dans la colonne Interface, sélectionnez l'interface de provenance des clients VPN SSL. Pour une interface PPPoE ou VLAN, sélectionnez-la plutôt que l'interface physique parente.

  3. Dans la colonne Méthode ou annuaire par défaut, vérifiez l'annuaire renseigné. S'il est correct, le profil sélectionné est correctement pré-configuré. Poursuivez vers la section Attribuer les droits d’accès au VPN SSL.

    En cas contraire, sélectionnez un autre profil, comme default05, et rendez-vous dans l'onglet Profils du Portail captif. Sélectionnez cet autre profil, choisissez le bon annuaire dans le champ Méthode ou annuaire par défaut et activez le portail captif dans la zone Configuration avancée.