Configurer l’authentification

Rendez-vous dans Configuration > Utilisateurs > Authentification.

Connecter le firewall à un annuaire

Dans l'onglet Méthodes disponibles, si le firewall SNS est déjà connecté à un annuaire, une ligne LDAP apparaît dans la grille. Si tel est le cas, poursuivez vers la section Ajouter la méthode d'authentification RADIUS.

Si le firewall SNS n'est pas connecté à un annuaire, cliquez sur Ajouter une méthode > LDAP et confirmez votre souhait de créer un annuaire. Suivez ensuite les indications. Aidez-vous du manuel utilisateur SNS v4 si nécessaire.

IMPORTANT
La connexion à l'annuaire doit être effective afin que les listes d'utilisateurs et groupes d'utilisateurs soient disponibles dans les modules du firewall SNS.

Ajouter la méthode d'authentification RADIUS

Pour utiliser une authentification multifacteur lors des connexions VPN, vous devez ajouter la méthode RADIUS afin de connecter le firewall SNS à votre serveur RADIUS, lui-même connecté à votre solution d’authentification multifacteur. Si vous n'utilisez pas d'authentification multifacteur, poursuivez vers la section Configurer la politique d'authentification.

Pour ajouter la méthode RADIUS, cliquez sur Ajouter une méthode > RADIUS et suivez les indications. Aidez-vous du manuel utilisateur SNS v4 si nécessaire.

Si vous utilisez une authentification multifacteur de type Mode Push, vous devez en plus modifier le timeout RADIUS afin de laisser aux utilisateurs un délai suffisant leur permettant de s'authentifier. Par exemple pour 30 secondes, utilisez les commandes CLI / Serverd suivantes :

CONFIG AUTH RADIUS timeout=30000
CONFIG AUTH RADIUS btimeout=30000
CONFIG AUTH ACTIVATE

Configurer la politique d'authentification

Dans l'onglet Politique d'authentification, poursuivez selon la Méthode par défaut sélectionnée.

NOTE
Dans nos exemples, nous créons des règles qui concernent tous les utilisateurs du domaine (Any user@). Vous pouvez créer des règles pour des groupes d’utilisateurs différents. Lors d’une demande d’authentification, les règles sont examinées dans l’ordre de leur numérotation.

Méthode par défaut LDAP

  1. Cliquez sur Nouvelle règle > Règle standard.

  2. Dans l'onglet Utilisateur : sélectionnez dans la liste Any user@ pour le domaine de l'annuaire LDAP concerné.

  3. Dans l'onglet Source : cliquez sur Ajouter une interface et sélectionnez VPN SSL.

  4. Dans l'onglet Méthodes d'authentification : supprimez la ligne Méthode par défaut et ajoutez la méthode LDAP ou RADIUS (compatible avec l'authentification multifacteur).

Autre méthode par défaut que LDAP

Ajoutez une première règle :

  1. Cliquez sur Nouvelle règle > Règle standard.

  2. Dans l'onglet Utilisateur : sélectionnez dans la liste Any user@ pour le domaine de l'annuaire LDAP concerné.

  3. Dans l'onglet Source : cliquez sur Ajouter une interface et sélectionnez out.

  4. Dans l'onglet Méthodes d'authentification : supprimez la ligne Méthode par défaut et ajoutez la méthode LDAP .

Ajoutez une seconde règle :

  1. Cliquez sur Nouvelle règle > Règle standard.

  2. Dans l'onglet Utilisateur : sélectionnez dans la liste Any user@ pour le domaine de l'annuaire LDAP concerné.

  3. Dans l'onglet Source : cliquez sur Ajouter une interface et sélectionnez VPN SSL.

  4. Dans l'onglet Méthodes d'authentification : supprimez la ligne Méthode par défaut et ajoutez la méthode LDAP ou RADIUS (compatible avec l'authentification multifacteur).

Configurer le portail captif

Dans l'onglet Portail captif, grille Correspondance entre profil d'authentification et interface :

  1. Cliquez sur Ajouter.

  2. Dans la colonne Interface : sélectionnez VPN SSL.

  3. Dans la colonne Méthode ou annuaire par défaut : repérez si l'annuaire est le bon :

    • Si l'annuaire est correct : le profil sélectionné par défaut est correctement pré-configuré. Poursuivez vers la section Attribuer les droits d’accès au VPN SSL,

    • Si l'annuaire est incorrect : sélectionnez un autre profil (comme default05) et rendez-vous dans l'onglet Profils du Portail captif. Sélectionnez le nouveau profil, choisissez le bon annuaire dans le champ Méthode ou annuaire par défaut et activez le portail captif dans la zone Configuration avancée.