Activer les Agent TS et configurer la politique de filtrage

Activer les Agents TS

Sur le firewall, placez-vous dans le module Configuration > Utilisateurs > Authentification > onglet Méthodes disponibles :

  1. Dans la grille Liste des Agents TS située à droite de l'écran, et pour chacun des Agents TS que vous souhaitez activer, double-cliquez sur son état pour le faire passer de off à on.
  2. Cliquez sur Appliquer pour prendre en compte cette modification de configuration.

Créer les règles de filtrage

Vous devez créer les règles permettant aux utilisateurs authentifiés par la méthode Agent TS d'accéder aux différentes ressources autorisées. Il peut s'agir de groupes d'utilisateurs ou d'utilisateur uniques.

Il est également important de prévoir des règles "d'exception" permettant aux serveurs RDS / Citrix d'accéder aux ressources de mises à jour de sécurité (Microsoft Windows Update et Antivirus par exemple) sans nécessité d'une authentification préalable.

Un ensemble de règles répondant à ces critères pourrait ressembler à ceci :

Pour créer une règle d'exception concernant la mise à jour des serveurs

Dans le module Configuration > Politique de sécurité > Filtrage et NAT :

  1. Sélectionnez la politique de sécurité à modifier.
  2. Placez-vous sur la règle au-dessous de laquelle vous souhaitez créer une nouvelle règle.
    Vous pourrez déplacer cette règle par la suite à l'aide des flèches présentes dans la barre d'action.
  3. Cliquez sur Nouvelle règle et sélectionnez Règle simple.
  4. Double-cliquez dans la colonne Action de cette nouvelle règle.
    La fenêtre d'édition de la règle s'ouvre.
  5. Cliquez sur le menu de gauche Général.
  6. Dans le champ État : sélectionnez la valeur On.
    Vous pouvez ajouter un commentaire si vous le souhaitez.
  7. Cliquez sur le menu de gauche Action.
  8. Dans l'onglet Général, pour le champ Action, choisissez passer.
  9. Cliquez sur le menu de gauche Source.
  10. Dans l'onglet Général, pour le champ Machines sources, sélectionnez les serveurs ou les groupes de serveurs autorisés à accéder aux services de mises à jour de sécurité (serveurs RDS-1-SERVER, RDS-2-SERVER, CITRIX-1-SERVER et CITRIX-2-SERVER dans cet exemple).
  11. Cliquez sur le menu de gauche Destination.
  12. Dans l'onglet Général, pour le champ Services Web et réputations IP, sélectionnez les objets Microsoft public IPs, Windows update et Microsoft Azure.
  13. Cliquez sur le menu de gauche Port / Protocole.
  14. Dans le champ Port destination, sélectionnez les objets http et https.
  15. Validez la création de la règle de filtrage en cliquant sur OK.

Pour créer une règle destinée à un groupe d'utilisateurs ou un utilisateur unique authentifiés par la méthode Agent TS

Dans le module Configuration > Politique de sécurité > Filtrage et NAT :

  1. Sélectionnez la politique de sécurité à modifier.
  2. Placez-vous sur la règle au-dessous de laquelle vous souhaitez créer une nouvelle règle.
    Vous pourrez déplacer cette règle par la suite à l'aide des flèches présentes dans la barre d'action.
  3. Cliquez sur Nouvelle règle et sélectionnez Règle simple.
  4. Double-cliquez dans la colonne Action de cette nouvelle règle.
    La fenêtre d'édition de la règle s'ouvre.
  5. Cliquez sur le menu de gauche Général.
  6. Dans le champ État : sélectionnez la valeur On.
    Vous pouvez ajouter un commentaire si vous le souhaitez.
  7. Cliquez sur le menu de gauche Action.
  8. Dans l'onglet Général, pour le champ Action, choisissez passer.
  9. Cliquez sur le menu de gauche Source.
  10. Dans l'onglet Général, pour le champ Utilisateur, sélectionnez l'utilisateur ou le groupe d'utilisateurs authentifiés par la méthode Agent TS utilisateur (groupe d'utilisateurs RDS-USERS@documentation.org ou CITRIX-USERS@documentation.org ou utilisateur unique john.doe@documentation.org dans cet exemple).

    11. NOTE
    Un seul utilisateur ou un seul groupe d'utilisateurs peut être sélectionné dans une règle de ce type.
    Vous devrez donc créer autant de règles que de groupes d'utilisateurs ou d'utilisateurs uniques authentifiés par la méthode Agent TS et autorisés à accéder à des ressources identiques.

  11. Cliquez sur le menu de gauche Destination.
  12. Dans l'onglet Général, pour le champ Machines destinations, sélectionnez les machines à rendre accessibles aux utilisateurs authentifiés par la méthode Agent TS (machine ERP-SERVER dans cet exemple).
  13. Cliquez sur le menu de gauche Port / Protocole.
  14. Dans le champ Port destination, sélectionnez les objets correspondant aux ports à autoriser (objets http et https dans cet exemple).
  15. Validez la création de la règle de filtrage en cliquant sur OK.

Répétez cette procédure pour créer les autres règles de filtrage destinées aux utilisateurs authentifiés par la méthode Agent TS.

Lorsqu'un firewall est positionné entre les utilisateurs à authentifier via l'Agent TS et les serveurs RDS / CITRIX

Dans ce cas, il est nécessaire de créer sur ce firewall une règle autorisant les réseaux des utilisateurs concernés à joindre :

  • Les serveurs RDS sur le port TCP/3389 (objet microsoft-ts sur un firewall SNS),
  • Les serveurs Citrix sur le port 1494 correspondant au protocole Citrix ICA (objet citrix sur un firewall SNS).