Configurer l’authentification

Rendez-vous dans Configuration > Utilisateurs > Authentification.

Connecter le firewall SNS à un annuaire

La connexion à un annuaire doit être effective afin que les listes d'utilisateurs et groupes d'utilisateurs soient disponibles dans les modules du firewall SNS. Pour le vérifier, dans l'onglet Méthodes disponibles, repérez si la méthode LDAP apparaît dans la grille.

  • Si la méthode LDAP apparaît : le firewall SNS est déjà connecté à un annuaire. Poursuivez vers la section Ajouter la méthode d'authentification RADIUS,

  • Si la méthode LDAP n'apparaît pas : le firewall SNS n'est pas connecté à un annuaire. Cliquez sur Ajouter une méthode > LDAP, confirmez votre souhait de créer un annuaire et suivez les indications. Aidez-vous si nécessaire du manuel utilisateur SNS v4.

Ajouter la méthode d'authentification RADIUS

Pour le VPN SSL, la méthode RADIUS permet de connecter le firewall SNS à un serveur RADIUS, lui-même connecté à une solution d’authentification multifacteur. Poursuivez selon si vous utilisez ou non une authentification multifacteur.

  • Vous n'utilisez pas d'authentification multifacteur : poursuivez vers la section Configurer la politique d'authentification,

  • Vous utilisez une authentification multifacteur : cliquez sur Ajouter une méthode > RADIUS et suivez les indications. Aidez-vous si nécessaire du manuel utilisateur SNS v4.
    Si vous utilisez une authentification multifacteur de type Mode Push, vous devez modifier le timeout RADIUS afin de laisser aux utilisateurs un délai suffisant leur permettant de s'authentifier. Par exemple pour 30 secondes, utilisez ces commandes CLI / Serverd :

    CONFIG AUTH RADIUS timeout=30000
    CONFIG AUTH RADIUS btimeout=30000
    CONFIG AUTH ACTIVATE

Configurer la politique d'authentification

La configuration de la politique d'authentification dépend de la méthode par défaut utilisée par le firewall SNS et de la méthode à utiliser pour l'authentification des connexions VPN SSL.

Vérifier la méthode par défaut utilisée par le firewall SNS

  1. Positionnez-vous dans l'onglet Politique d'authentification.

  2. Dans la zone Méthode par défaut, repérez la méthode spécifiée dans le champ Méthode à utiliser si aucune règle ne peut être appliquée.

Réaliser la configuration de la politique d'authentification

Poursuivez selon le cas qui s'applique à votre situation.

Le firewall utilise la méthode par défaut LDAP et j'utilise exclusivement cette méthode

Il s'agit de la configuration la plus simple : vous utilisez exclusivement la méthode LDAP (pas d'authentification multifacteur, pas de TOTP, ...). La configuration actuelle du firewall SNS est suffisante. Poursuivez vers la section Configurer le portail captif.

Dans tous les autres cas

Que vous restreigniez l'authentification au strict nécessaire (méthode par défaut Interdire) ou que vous utilisiez, par exemple, de l'authentification multifacteur ou TOTP, vous devez ajouter deux règles pour configurer la politique d'authentification.

Ajoutez une première règle :

  1. Cliquez sur Nouvelle règle > Règle standard.

  2. Dans l'onglet Utilisateur, champ Utilisateur ou groupe : sélectionnez le groupe d'utilisateurs concerné. Any user@ concerne tous les utilisateurs du domaine.

  3. Dans l'onglet Source : cliquez sur Ajouter une interface et sélectionnez l'interface externe par laquelle l'authentification sera réalisée (par exemple out).

  4. Dans l'onglet Méthodes d'authentification, dans la grille :

    • Sélectionnez la ligne Méthode par défaut et cliquez sur Supprimer.

    • Cliquez sur Autoriser une méthode et sélectionnez la méthode à utiliser pour les connexions permettant de récupérer la configuration VPN (voir Spécificités de SN SSL VPN Client) ainsi que les connexions au portail captif du firewall SNS (LDAP, RADIUS, ...).

Ajoutez une seconde règle :

  1. Cliquez sur Nouvelle règle > Règle standard.

  2. Dans l'onglet Utilisateur, champ Utilisateur ou groupe : sélectionnez le groupe d'utilisateurs concerné. Any user@ concerne tous les utilisateurs du domaine.

  3. Dans l'onglet Source : cliquez sur Ajouter une interface et sélectionnez VPN SSL.

  4. Dans l'onglet Méthodes d'authentification, dans la grille :

    • Sélectionnez la ligne Méthode par défaut et cliquez sur Supprimer.

    • Cliquez sur Autoriser une méthode et sélectionnez la méthode à utiliser pour les connexions permettant d'établir les tunnels VPN SSL (LDAP, RADIUS, ...).

NOTE
Vous pouvez créer des règles pour des groupes d'utilisateurs différents pour augmenter la sécurité. Les règles sont examinées dans l’ordre de leur numérotation lors d’une authentification.

Configurer le portail captif

Dans l'onglet Portail captif, grille Correspondance entre profil d'authentification et interface :

  1. Cliquez sur Ajouter.

  2. Dans la colonne Interface : sélectionnez VPN SSL.

  3. Dans la colonne Méthode ou annuaire par défaut : repérez si l'annuaire est le bon :

    • Si l'annuaire est correct : le profil sélectionné par défaut est correctement pré-configuré. Poursuivez vers la section Attribuer les droits d’accès au VPN SSL,

    • Si l'annuaire est incorrect : sélectionnez un autre profil (comme default05) et rendez-vous dans l'onglet Profils du Portail captif. Sélectionnez le nouveau profil, choisissez le bon annuaire dans le champ Méthode ou annuaire par défaut et activez le portail captif dans la zone Configuration avancée.