Single Sign-On su USG

Documenti analoghi
Plugin Single Sign-On

NEXT-GEN USG: Filtri Web

POLICY DI ACCESSO INTERNET E CONTENT FILTER BASATE SU GRUPPI ACTIVE DIRECTORY (Firmware 2.20)

Configuriamo correttamente le interfacce Ethernet del nostro USG secondo le nostre esigenze. Configurazione interfacce

Avremo quindi 3 utenti di dominio ai quali dovremo assegnare policy di navigazione differenti:

NEXT-GEN USG: Filtri Web

SOMMARIO... 2 Introduzione... 3 Configurazione Microsoft ISA Server... 4 Microsoft ISA Server Microsoft ISA Server

Con accesso remoto s'intende la possibilità di accedere ad uno o più Personal Computer con un modem ed una linea telefonica.

BREVE GUIDA ALL ATTIVAZIONE DEL SERVIZIO DDNS PER DVR SERIE TMX

ATOLLO BACKUP GUIDA INSTALLAZIONE E CONFIGURAZIONE

Guida alla configurazione della posta elettronica dell Ateneo di Ferrara sui più comuni programmi di posta

GUIDA ALLA CONFIGURAZIONE DEL SERVIZIO INTERNET E DELLA POSTA ELETTRONICA V2.2

GateManager. 1 Indice. tecnico@gate-manager.it

Creazione Account PEC puntozeri su Outlook Express

Dal sito: Articolo recensito da Paolo Latella

ARCHIVIA PLUS VERSIONE SQL SERVER

TeamPortal. Servizi integrati con ambienti Gestionali

SIEMENS GIGASET S450 IP GUIDA ALLA CONFIGURAZIONE EUTELIAVOIP

2 Configurazione lato Router

Attivazione della connessione PPTP ADSL

LINKSYS SPA922 GUIDA ALLA CONFIGURAZIONE EUTELIAVOIP

File, Modifica, Visualizza, Strumenti, Messaggio

Installazione di GFI Network Server Monitor

IMPORTANTE PER ESEGUIRE QUESTA INSTALLAZIONE NEI SISTEMI OPERATIVI NT-2000-XP, BISOGNA AVERE I PRIVILEGI AMMINISTRATIVI.

La VPN con il FRITZ!Box Parte II. La VPN con il FRITZ!Box Parte II

GROUP POLICY MANAGEMENT CONSOLE (ACTIVE DIRECTORY)

Configurazione WAN (accesso internet)

Configurazione del servizio Dynamic DNS. Questa procedura ti guiderà durante i 4 passi necessari alla messa in funzione del servizio.

Configurazione modalità autenticazione utenti sui firewall D-Link Serie NetDefend (DFL-200, DFL-700, DFL-1100)

Configurazione schede

Manuale operatore per l utilizzo dell utente di dominio

ATA-172 GUIDA ALLA CONFIGURAZIONE EUTELIAVOIP

Per la connessione del router 3Com Office Connect Remote 812 ad un singolo computer è sufficiente rispettare il seguente schema:

Configurazione Client di Posta Elettronica

Sistema Informativo Gestione Fidelizzazione Clienti MANUALE D USO

Come accedere alle pubblicazioni da remoto con Windows

Manuale d uso Software di parcellazione per commercialisti Ver [05/01/2015]

SIP-Phone 302 GUIDA ALLA CONFIGURAZIONE EUTELIAVOIP

Manuale di configurazione di Notebook, Netbook e altri dispositivi personali che accedono all Hot e di programmi per la comunicazione

Utilizzo della chiavetta SE 50UMTS per la navigazione Web tramite PC

1 Introduzione Installazione Configurazione di Outlook Impostazioni manuali del server... 10

Come visualizzare un dispositivo EZVIZ via web browser / Client mobile / client software ivms-4200

FPf per Windows 3.1. Guida all uso

CONFIGURAZIONE PLUGIN MILESTONE-CPS 1.CONFIGURAZIONE CPS

Configurazione AP Managed

Guida alla registrazione on-line di un DataLogger

IP CONTROLLER IPC-3008/ IPC-3108 IPC-3002 / IPC-3102

GE Fanuc Automation. Page 1/12

MANUALE UTENTE. Computer Palmare WORKABOUT PRO

Wingate e Mdaemon - Usarli insieme (data ultima modifica 26/04/2002) Configurazione

Nuovo server E-Shop: Guida alla installazione di Microsoft SQL Server

SIEMENS GIGASET S450 IP GUIDA ALLA CONFIGURAZIONE EUTELIAVOIP

Manuale per la configurazione di AziendaSoft in rete

Guida rapida di installazione e configurazione

GUIDA UTENTE PRIMA NOTA SEMPLICE

Installazione di GFI Network Server Monitor

Servizio di Posta elettronica Certificata (PEC)

SHAREPOINT INCOMING . Configurazione base

Configurazione client di posta elettronica per il nuovo servizio . Parametri per la Configurazione dei client di posta elettronica

GUIDA UTENTE MONEY TRANSFER MANAGER

MANUALE CONFIGURAZIONE APPLICAZIONE IOS vers. 1.01

Start > Pannello di controllo > Prestazioni e manutenzione > Sistema Oppure clic destro / Proprietà sull icona Risorse del computer su Desktop

Configurazione del Sistema Operativo Microsoft Windows XP per accedere alla rete Wireless dedicata agli Ospiti LUSPIO

15J0460A300 SUNWAY CONNECT MANUALE UTENTE

Guida di Pro PC Secure

MANUALE INSTALLAZIONE E CONFIGURAZIONE

Servizio di Posta elettronica Certificata (PEC)

2010 Ing. Punzenberger COPA-DATA Srl. Tutti i diritti riservati.

B R E V E G U I D A ( V I S I S L A B C O F F E E ) Breve guida page 1

DINAMIC: gestione assistenza tecnica

Requisiti per la Configurazione Internet

CERTIFICATI DIGITALI. Manuale Utente

GUIDA UTENTE WEB PROFILES

Servizio di backup dei dati mediante sincronizzazione

Indice generale. Il BACK-END...3 COME CONFIGURARE JOOMLA...4 Sito...4 Locale...5 Contenuti...5

(1) Network Camera

Ho chleica SmartNet ItalPoS

SIEMENS GIGASET S685 IP GUIDA ALLA CONFIGURAZIONE EUTELIAVOIP

Hosting Applicativo Upgrade Web Client

La seguente procedura permette di configurare il Vostro router per accedere ad Internet. Vengono descritti i seguenti passaggi:

SIEMENS GIGASET C450 IP GUIDA ALLA CONFIGURAZIONE EUTELIAVOIP

Zyxel Prestige 660H CONNESSIONE E CONFIGURAZIONE

MC-link Connessione e configurazione del router PRESTIGE 650R per l accesso ad MC-link in ADSL. A cura del supporto tecnico di MC-link

MailStore Proxy è disponibile gratuitamente per tutti i clienti di MailStore Server all indirizzo

APP - myavsalarm ABC - INSTALLATORE

ISTRUZIONI PER L INSTALLAZIONE DI MINGW

GUIDA ALL ABILITAZIONE DELL INSTALLAZIONE DEI CONTROLLI ACTIVEX

AXWIN6 QUICK INSTALL v.3.0

e/fiscali - Rel e/fiscali Installazione

NUOVA PROCEDURA DI RESET PASSWORD AUTOMATICA

Guida all installazione Command WorkStation 5.5 con Fiery Extended Applications 4.1

Istruzioni per il cambio della password della casella di posta

BACKUP APPLIANCE. User guide Rev 1.0

Documento guida per l installazione di CAIgest.

WINDOWS XP. Aprire la finestra che contiene tutte le connessioni di rete in uno dei seguenti modi:

Progetto SOLE Sanità OnLinE

SIP PHONE Perfectone IP301 Manuale Operativo PHONE IP301 GUIDA ALL INSTALLAZIONE

Transcript:

NEXT-GEN USG

Single Sign-On su USG

Windows Server 2008 e superiori Client SSO ZyXEL, scaricabile da ftp://ftp.zyxel.com/sso_agent/software/sso%20agent_1.0.3.zip già installato sul server Struttura Active Directory già presente Prerequisiti Attributi Active Directory già estratti (utility ADSIEdit di Windows Server)

Configurazione AD su USG Per usare le funzionalità SSO dei nuovi Next Generation Gateway è prima necessario impostare le opzioni relative all autenticazione su Active Directory. Per fare questo andiamo nel menù Object > AAA Server e dalla scheda Active Directory aggiungiamo il server impostando i parametri di configurazione. Nel nostro esempio il dominio è ZYXEL_IT.local e Administrator come Amministratore di dominio - Server Address: Indirizzo IP del Domani Controller - Port: lasciare 389 di default a meno che non siano stati modificati i parametri sul server - Base DN: DC=ZYXEL_IT,DC=local - Bind DN: CN=Administrator, CN=Users, DC=ZYXEL_IT,DC=local - Password: Relative all account Admin di dominio Gli altri parametri non li modifichiamo. N:B: Base DN e Bind DN devono essere ricavati direttamente dal server, usando ad esempio ADSIEdit

Configurazione AD su USG Una volta inseriti i parametri possiamo fare un test di funzionamento. Al fondo del popup di configurazione è presente la Configuration Validation. Inseriamo uno username di dominio e premiamo test. Se tutto è stato configurato correttamente apparirà un popup con i risultati della ricerca

Configurazione Auth Method su USG Dal menù Object > Auth. Method dobbiamo andare ad aggiungere al metodo di default il group ad. In questo modo diremo all USG di cercare gli utenti prima nell AD e, se non trovati, nel database locale.

Creazione Gruppi AD su SUG E possibile creare dei gruppi su USG che puntano direttamente a dei gruppi creati direttamente sull AD. L USG potrà ricevere dal Server gli utenti del gruppo ed applicare eventuali policy. Per configurare i gruppi AD andiamo sul menù Object > User/Group e aggiungiamo un nuovo utente: - User Name: deve essere uguale al nome del gruppo AD - User Type: ext-group-user - Group identifier: identificativo AD del gruppo in questo formato CN=Marketing,CN=Users,DC=ZYXEL_IT,DC =local perché in questo caso Marketing è il gruppo AD - Associated AAA Server: l AAA Server di riferimento creato in precedenza.

Test gruppo AD Per verificare la correttezza della configurazione nel campo Configuration Validation inseriamo un utente che fa parte del gruppo ed otterremo OK come risposta. Proviamo un utente che non è membro del gruppo e, correttamente, otterremo come risposta <user> does not belong to this group.

Plugin Single Sign-On

Configurazione Agent SSO su AD Verificare di avere l ultima release del client SSO installato su Windows Server. AL momento di redigere la guida la più recente è la 1.0.3 Le videate successive sono uguali per Windows Server 2008 e superiori. Windows Server 2003 e 2003 R2 non sono supportati

Configurazione Agent SSO su AD Cliccando col tasto destro sull icona dell agent SSO (evidenziata in rosso) si apre il menù contestuale: - Enable/Disable ZyXEL SSO Agent: Abilita o disabilita l Agent - Configure ZyXEL SSO Agent: Per configurare i parametri - Log: Per leggere i Log dell Agent - Logon User lists: Lista utenti loggati al dominio - Diagnostic tools: Strumenti di diagnostica e verifica - Change service setting: Modificare l utente con diritti amministrativi che può dialogare con l AD - Help: Guida per l uso dell Agent

Configurazione Agent SSO su AD Cliccando sulla voce Configure ZyXEL SSO Agent si aprirà il menù di configurazione. Adesso clicchiamo sul pulsante Configure (evidenziato in rosso)

Configurazione Agent SSO su AD La schermata di configurazione parametri AD è molto simile a quella già vista sull USG. Infatti dovremo inserire gli stessi parametri - Server Address: Indirizzo IP del Domani Controller - Port: lasciare 389 di default a meno che non siano stati modificati i parametri sul server - Base DN: DC=ZYXEL_IT,DC=local - Bind DN: CN=Administrator, CN=Users, DC=ZYXEL_IT,DC=local - Password: Relative all account Admin di dominio Gli altri parametri non li modifichiamo. Anche qui in Configuration Validation possiamo inserire un utente ad e premere test. Avremo il risultato riportato sotto: Diamo OK per salvare e tornare alla precedente videata

Configurazione Agent SSO su AD Tornati alla pagina di configurazione possiamo ora premere sul pulsante ADD(evidenziato in rosso) per aggiungere il firewall di riferimento

Configurazione Agent SSO su AD Nella finestra di popup ci vengono richiesti i seguenti dati: - Gateway IP: Indirizzo IP del Firewall - Gateway Port: Lasciamo 2158 - Description: Breve descrizione - PreShareKey: Password di sincronizzazione con il firewall Impostati i parametri premiamo OK.

Configurazione Agent SSO su AD Tornati alla pagina di configurazione dobbiamo soltanto attivare la spunta su Active (evidenziato in rosso) e dare l OK e confermare il salvataggio dati, come da immagine sotto:

Configurazione Agent SSO su AD Abbiamo quasi terminato, dobbiamo solo abilitare l Agent. Faccia click col tasto desto sull icona ZyXEL SSO Agent nella system Tray e clicchiamo sulla voce Enable ZyXEL SSO Agent Un popup di notifica ci informerà della corretta attivazione dell Agent. Noteremo anche che l icona ha cambiato colore e l omino ora è arancione per indicare che l Agent è in ascolto delle connessioni.

Configurazione GPO su Dominio Sul Server bisogna creare delle policy di dominio per abilitare le richieste echo e WMI sui pc di dominio, altrimenti l Agent non potrà comunicare coi PC. Dalle Policy GPO selezioniamo il dominio col tasto desto e clicchiamo su Create a GPO in this domain and Link it here e diamole un nome identificativo

Configurazione GPO su Dominio Facciamo click col tasto destro sulla nuova regola GPO create e selezioniamo Edit. Su questo popup selezioniamo Computer Configuration >Polices >Administrative Templates >Network >Network Connections >Windows Firewall > Domain Profile e Standard profile. Facciamo doppio click sulla regola Windows Firewall: Allow ICMP exceptions

Configurazione GPO su Dominio Abilitiamo la regola e selezioniamo la voce Allow inbound echo request e diamo OK per applicare la configurazione. L operazione va fatta sia per il Domain Profile che per lo Standard Profile

Configurazione GPO su Dominio Configuriamo adesso i firewall dei PC di dominio per accettare il controllo remoto WMI Sempre dalla stessa videata delle policy GPO andiamo su Computer Configuration > Policies > Windows Settings > Security Settings Windows Firewall with advanced Security Ora col tasto destro facciamo click su Inbound/Outbound Rules, e facciamo click su New Rule

Configurazione GPO su Dominio Selelezioniamo l opzione Predefined e dalla tendina selezioniamo Windows Management Instrumentation (WMI). Clicchiamo su Next e nella schermata successiva selezioniamo tutte le opzioni

Configurazione GPO su Dominio Selezioniamo Allow the Connection e premiamo Finish per salvare la regola. Ripetiamo il passaggio anche per le Outbound rules.

Configurazione GPO su Dominio Sui computer di dominio apriamo una shell dos e diamo il comando gpupdate /force per far acquisire ai client le nuove Policy.

Configurazione Firewall Domain Controller Dobbiamo ora autorizzare il Firewall del Windows Server ad accettare le richieste della porta 2158 dall USG (Porta usata dall SSO Agent). Quindi andiamo su Administrative Tool > Windows Firewall with Advanced Security. Su Inbound Rules facciamo click col tasto destro e su New Rule

Configurazione Firewall Domain Controller Selezioniamo Port e diamo Next. Alla videata successiva selezioniamo TCP e su Specific local ports inseriamo 2158 (quella dello ZyXEL SSO Agent)

Web Authentication su USG

Web Autentication SSO Settings Per usare il sistema SSO è necessario attivare la Web Authentication. La abilitiamo dal menù Web Authentication spuntando la casella Enable Web Authentication.

Web Autentication SSO Settings Dalla casella SSO andiamo ad inserire i parametri di collegamento all Agent installato sul server: - Listen Port: Porta di ascolto (lasciamo 2158 come default) - Agent PreShare Key: Password impostata in fase di aggiunta USG nell Agent - Primary Agent Address: Indirizzo ip del server sui cui è installato l Agent - Primary Agent Port: Anche qui possiamo lasciare come default 2158

Web Autentication SSO Settings Torniamo su Web Authentication per definire le policy di accesso in Web Authentication Policy Summary. Il Server sarà in bypass in quanto dovrà accedere ad internet per gli aggiornamenti e per i record DNS. Per la LAN1 attiveremo l autenticazione SSO

Web Autentication SSO Settings La policy andrà configurata come segue: - Source Address: LAN1_SUBNET - Destination Address: Any (ovvero internet) - Authentication: required. Quindi i client dovranno autenticarsi per uscire. Chi non è autenticato non può navigare. Avendo l AD per sfruttare l SSO, e quindi il riconoscimento automatico degli utenti di dominio dovremo abilitare la spunta Single Sign-on. Gli utenti che si connettono alla rete ma non fanno parte del dominio, per via del Force User Authentication, dovranno loggarsi sul firewall per navigare. Utile per gli ospiti.

Test di funzionamento SSO Agent Accediamo quindi al dominio con un PC. Sul Server, tramite l Agent SSO su Logon User Lists possiamo verificare che l utente è stato acquisito correttamente Sull USG da Monitor > System Status > Login Users potremo verificare l avvenuto riconoscimento dell account in SSO. L utente MKTG1, di dominio, è riconosciuto nel suo gruppo Marketing, oltre che come ad-users. In funzione di questo potrà quindi navigare senza doversi riautenticare sul firewall.

Policy di Security basate su SSO

Policy control Sull USG possiamo a questo punto andare a discriminare in maniera del tutto trasparente utenti/gruppi di dominio per fare policy di accesso internet e filtraggio diversificate in base agli utenti.

Thank You!

2026 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back