Configurer la méthode et la politique d'authentification

Renseignez les informations du SN SSO Agent principal :

• Adresse IP : sélectionnez dans le menu déroulant l’objet réseau correspondant à la machine où est installée le SN SSO Agent.
• Port : par défaut, le port "agent_ad" est sélectionné, correspondant au port 1301. Le protocole utilisé est TCP.
• Clé pré-partagée (mot de passe) : renseignez la clé définie lors de l’installation de SN SSO Agent.
  Cette clé est utilisée pour le chiffrement en SSL des échanges entre SN SSO Agent et le firewall.
  La force de la clé pré-partagée indique le niveau de sécurité de ce mot de passe. Il est fortement conseillé d’utiliser des majuscules et des caractères spéciaux.

Vous pouvez également préciser ces informations pour un SN SSO Agent de secours (optionnel).

Vous devez ajouter tous les contrôleurs qui régissent le domaine. Ceux-ci doivent au préalable être enregistrés dans la base Objets réseau du firewall.

Si plusieurs contrôleurs de domaine régissent le domaine, il est impératif que le compte utilisé par le SN SSO Agent soit un compte dédié appartenant au domaine ayant les droits décrits dans la section Paramétrer un accès sur l'Active Directory. Ces droits s’appliquent sur tous les contrôleurs de domaine afin de relayer l’ensemble des événements survenus sur le domaine.

Durée maximum d’authentification : définissez la durée maximum de session d’un utilisateur authentifié. Passé ce délai, le firewall supprime l’utilisateur associé à cette adresse IP de sa table d’utilisateurs authentifiés, déconnectant l’utilisateur du firewall.
Ce seuil est à définir en minutes ou heures et est par défaut fixé à 10 heures.

Délai de mises à jour des groupes d’utilisateurs : pour chaque annuaire Active Directory configuré sur le firewall (Configuration des annuaires), le firewall consulte les éventuelles modifications apportées aux groupes de l’annuaire LDAP. Il met à jour sa configuration de l’annuaire, puis renvoie ces informations au SN SSO Agent.
Ce seuil est à définir en minutes ou heures et est par défaut fixé à 1 heure.

Détection des déconnexions : activer la méthode de déconnexion permet de supprimer les utilisateurs authentifiés lors d’une déconnexion de la machine ou d’une fermeture de session. Sans l’activation de cette méthode, l’utilisateur ne sera désauthentifié qu’après la durée d’authentification fixée, même en cas de fermeture de la session.

Ce test des machines connectées au firewall s’effectue soit par méthode PING, soit par Base de registre.

• PING : SN SSO Agent teste l'accessibilité de toutes les machines authentifiées sur le firewall toutes les 60 secondes par défaut.
  Dans le cas d’une réponse "host unreachable" ou d’absence de réponse d’une adresse IP après un délai défini ci-après, le SN SSO Agent envoie une demande de déconnexion au firewall. Ce dernier supprime alors l’utilisateur associé à l’adresse IP de sa table d’utilisateurs authentifiés, déconnectant ainsi l’utilisateur du firewall
  
  Il est indispensable que les machines du domaine autorisent les réponses au test de PING (paramètres du Pare-feu Windows des machines). D’autre part, si le SN SSO Agent passe au travers d’un firewall pour accéder aux machines du domaine, il faut établir les règles autorisant le SN SSO Agent à tester les stations dans la politique de filtrage du firewall.
• Base de registre : cette méthode permet par exemple de détecter une session fermée sur une machine toujours allumée. Dans le cas d’une réponse positive au test (PING), le SN SSO Agent se connecte à distance sur la machine et vérifie dans la Base de registre la liste des utilisateurs ayant une session ouverte sur la machine. Cela permet de mettre à jour sa table des utilisateurs authentifiés.
  
  Pour mettre en oeuvre la méthode par Base de registre, les conditions suivantes doivent être respectées :
  • Le compte associé au SN SSO Agent doit avoir les droits d’administration sur toutes les machines authentifiées sur le firewall et doit appartenir au groupe Administrateur du serveur Active Directory ou être défini en tant qu’administrateur local sur les machines supervisées (voir la section Paramétrer un accès sur l'Active Directory).
  • Le service Registre à distance doit être activé sur ces machines. Pour cela, rendez-vous dans les Services de Windows, sélectionnez le service Registre à distance puis cliquez sur Démarrer. Il faut également passer le statut de ce service de l’état Manuel à Automatique.
    
    
    
    
  • Les ports 139 et 445 (Ports Windows) & l’ICMP doivent être ouverts. Suivez par exemple, le chemin Panneau de configuration > Système et sécurité > Système > Pare-feu Windows et cliquez sur Autoriser un programme via le pare-feu Windows, puis cochez le Partage de fichiers et d’imprimante.
    
    
  • Cette méthode requiert la configuration de la zone inverse du domaine sur le serveur DNS afin de détecter les changements d’adresse IP (en cas de renouvellement d’adresse DHCP, par exemple). Consultez la section Changement d’adresse IP des Cas spécifiques pour plus d'informations.

Considérer comme déconnecté après : si une machine ne répond pas au test d’accessibilité (PING) après ce délai, elle est considérée comme déconnectée. Le firewall supprime alors l’utilisateur associé à la machine de sa table d’utilisateurs authentifiés. Cette durée est déterminée en secondes ou minutes et est fixée par défaut à 5 minutes.

Comptes d’Administration ignorés : dans la configuration d'usine du firewall, il existe une liste d’utilisateurs dont l’authentification est ignorée. Cette liste comporte les identifiants usuels dédiés à l’administrateur (Administrator et Administrateur par défaut).

Ce mécanisme a été mis en place car le lancement d’un service ou d’une application (fonction Exécuter en tant qu’administrateur, par exemple) est vu par le contrôleur de domaine comme une authentification. Le SN SSO Agent restreignant à une authentification par adresse IP, ce type d’authentification peut potentiellement remplacer l’authentification de l’utilisateur ayant ouvert une session Windows.
Cette liste préétablie de « Comptes Administrateur ignorés » permet au SN SSO Agent de ne pas prendre en compte leur authentification. Modifiez-la si nécessaire.

1. Rendez-vous dans le module Configuration > Utilisateurs > Authentification, onglet Politique d'authentification.
2. Cliquez sur Nouvelle règle.
3. Sélectionnez Règle standard pour lancer l’assistant de création.
4. Onglet Utilisateur, dans le champ Utilisateur ou groupe : sélectionnez l’utilisateur ou le groupe concerné ou laissez la valeur par défaut Any_user@domaine_sélectionné.
5. Onglet Source : cliquez sur Ajouter un objet afin de cibler l’origine (source) du trafic concerné par la règle. Cela peut être l’objet correspondant aux réseaux internes (exemple : network_internals).
   
   La méthode d’authentification Agent SSO se base sur les événements d’authentification collectés par les contrôleurs de domaine. Ceux-ci n’indiquant pas l’origine du trafic, la politique d’authentification ne peut être spécifiée avec des interfaces.
6. Onglet Méthodes d'authentification : cliquez sur Autoriser une méthode et sélectionnez dans la liste déroulante, les méthodes d’authentification à appliquer au trafic concerné par la règle.
   Elles sont évaluées dans l’ordre de la liste et du haut vers le bas. La méthode Agent SSO étant transparente, elle est par définition, toujours appliquée en priorité.
   La Méthode par défaut peut être modifiée en dessous du tableau des règles de la politique d'authentification.
7. Cliquez sur OK puis sur Appliquer.
   
   

La méthode Agent SSO ne supporte pas les objets multi-utilisateur (plusieurs utilisateurs authentifiés sur une même adresse IP). Or, un objet de ce type peut être contenu dans un réseau, une plage ou un groupe défini comme source d’une règle faisant appel à la méthode Agent SSO.

Pour éviter d'avoir des traces de rejet du SN SSO Agent pour les utilisateurs sur une adresse déclarée comme multi-utilisateur, il est conseillé d’ajouter deux règles dédiées à ce type d’objet, précédant celles utilisant la méthode Agent SSO :

• La première règle précise la méthode employée par l’objet multi-utilisateur,
• La suivante a l’action d’"interdire" toute autre méthode d’authentification.