Configurer l’authentification

Même si certains éléments mentionnés dans la section Prérequis sont déjà configurés, prenez quelques instants pour les vérifier.

Rendez-vous dans le module Configuration > Utilisateurs > Authentification.

Cas de l'authentification multifacteur et de l'accès réseau Zero Trust (ZTNA)

Pour les cas de l'authentification multifacteur et de l'accès réseau Zero Trust, vous devez avoir déjà configuré la méthode permettant d'utiliser l'authentification multifacteur choisie. Vous pouvez le vérifier dans l'onglet Méthodes disponibles.

Écran des Méthodes d'authentification sur un firewall SNS en version 4

Pour une authentification multifacteur utilisant la solution TOTP Stormshield

Vous devez avoir configuré la méthode TOTP. Pour plus d'informations, reportez-vous à la note technique Configurer et utiliser la solution TOTP Stormshield.

Pour une authentification multifacteur utilisant une solution tierce et un serveur RADIUS

Vous devez avoir configuré :

  • La solution d’authentification multifacteur tierce connectée à votre serveur RADIUS,
  • La méthode RADIUS permettant de connecter le firewall SNS à votre serveur RADIUS. Pour plus d'informations sur la configuration de la méthode RADIUS, reportez-vous à la section Authentification du manuel utilisateur de la version SNS utilisée.

Par défaut, le délai d'inactivité autorisé pour se connecter à un serveur RADIUS est de 3000 millisecondes (3 secondes). Dans le cas où une authentification multifacteur Mode Push est utilisée, vous devez modifier ce délai pour laisser aux utilisateurs suffisamment de temps pour s'authentifier. Par exemple pour 30 secondes, utilisez les commandes CLI / Serverd suivantes :

CONFIG AUTH RADIUS timeout=30000 btimeout=30000
CONFIG AUTH ACTIVATE

Pour un accès réseau Zero Trust (ZTNA)

Du fait que la mise en œuvre d'un accès réseau Zero Trust nécessite une vérification des utilisateurs grâce à l'authentification multifacteur, vous devez avoir configuré la méthode TOTP ou RADIUS. Pour plus d'informations, reportez-vous aux cas ci-dessus.

Configurer la politique d'authentification

Vous retrouvez dans l'onglet Politique d'authentification le champ Méthode à utiliser si aucune règle ne peut être appliquée. Poursuivez selon le cas qui s'applique.

Écran affichant la méthode d'authentification par défaut sur un firewall SNS en version 4

Le firewall utilise la méthode par défaut LDAP et j'utilise exclusivement cette méthode

La configuration actuelle est suffisante. Poursuivez vers la section Configurer le portail captif.

Dans tous les autres cas

Dans tous les autres cas (restriction au strict nécessaire de l'authentification, utilisation d'une authentification multifacteur, ...), vous devez ajouter au moins deux règles en cliquant sur Nouvelle règle > Règle standard.

Pour augmenter la sécurité, vous pouvez créer des règles spécifiques pour des groupes d'utilisateurs différents. À noter que les règles sont examinées dans l’ordre de leur numérotation lors d’une authentification.

Pour la première règle :

  1. Dans l'onglet Utilisateur, champ Utilisateur ou groupe, sélectionnez le groupe d'utilisateurs concerné. Any user@ concerne tous les utilisateurs du domaine,

  2. Dans l'onglet Source, ajoutez l'interface externe par laquelle l'authentification sera réalisée (par exemple out),

  3. Dans l'onglet Méthodes d'authentification :

    • Supprimez la ligne Méthode par défaut et activez la méthode (LDAP, RADIUS, ...) permettant de se connecter au portail captif du firewall et de récupérer la configuration VPN,

    • Dans le cas où la solution TOTP Stormshield est utilisée, positionnez à "On" l'utilisation d'un mot de passe à usage unique.

Pour la seconde règle :

  1. Dans l'onglet Utilisateur, champ Utilisateur ou groupe, sélectionnez le groupe d'utilisateurs concerné. Any user@ concerne tous les utilisateurs du domaine,

  2. Dans l'onglet Source, ajoutez l'interface VPN SSL,

  3. Dans l'onglet Méthodes d'authentification :

    • Supprimez la ligne Méthode par défaut et activez la méthode (LDAP, RADIUS, ...) permettant d'établir les tunnels VPN SSL,

    • Dans le cas où la solution TOTP Stormshield est utilisée, positionnez à "On" l'utilisation d'un mot de passe à usage unique.

Configurer le portail captif

Correspondance entre profil d'authentification et interface

  1. Dans l'onglet Portail captif, grille Correspondance entre profil d'authentification et interface, cliquez sur Ajouter.

  2. Dans la colonne Interface, sélectionnez l'interface de provenance des clients VPN SSL. Pour une interface PPPoE ou VLAN, sélectionnez-la plutôt que l'interface physique parente.

  3. Dans la colonne Méthode ou annuaire par défaut, vérifiez l'annuaire renseigné.

    • S'il correspond à celui des utilisateurs se connectant au VPN SSL : le profil est correctement pré-configuré. Les utilisateurs pourront simplement indiquer dans la fenêtre de connexion du client VPN SSL leur identifiant pour se connecter,

      Écran de la configuration du portail captif sur un firewall SNS en version 4

    • En cas contraire : les utilisateurs devront indiquer en plus de leur identifiant le domaine concerné (par exemple : identifiant@domain.tld). Pour changer ce comportement :
      • Sélectionnez un autre profil (par exemple default05),
      • Rendez-vous dans l'onglet Profils du Portail captif et sélectionnez cet autre profil,
      • Choisissez le bon annuaire dans le champ Méthode ou annuaire par défaut,
      • Activez le portail captif dans la zone Configuration avancée.

Serveur SSL - Certificat (clé privée) du portail captif

Vous pouvez sélectionner le certificat présenté par le portail captif du firewall SNS dans le champ correspondant.

Écran de la configuration du portail captif sur un firewall SNS en version 4

Dans le cas où l'un des critères ci-dessous s'applique au certificat sélectionné :

  • Le certificat n'est pas signé par une autorité de certification compétente,
  • L'autorité de certification n'est pas déployée sur le poste de travail des utilisateurs,
  • Le CN du certificat ne correspond pas à l'adresse du firewall qui sera utilisée pour les connexions au VPN SSL.

Alors, à la première connexion au VPN SSL, chaque utilisateur verra une fenêtre s'afficher indiquant que le certificat n'est pas de confiance. Pour se connecter, chaque utilisateur devra alors indiquer que le certificat est de confiance. Même si ce message n'est pas bloquant, il est recommandé de sensibiliser vos utilisateurs s'il s'agit d'un comportement attendu.

Par exemple, si vous utilisez le certificat auto-signé créé à l’initialisation du firewall SNS et qui est présenté par défaut par le firewall, ce message s'affichera.