keyboard_arrow_right keyboard_arrow_left

Auf der Registerkarte Definitionen & Benutzer > Authentifizierungsdienste > Single Sign-On können Sie die Single-Sign-On-Funktionalität für Active Directory und/oder eDirectory konfigurieren.

Active Directory Single Sign-On (SSO)

Beachten Sie, dass die Active-Directory-SSO-Einrichtung augenblicklich nur mit dem Webfilter verwendet wird, um Single Sign-On für Browser bereitzustellen, die NTLMv2 oder Kerberos-Authentifizierung unterstützen.

Um die Single-Sign-On-Funktionalität zu aktivieren, muss Sophos UTM der Active-Directory-Domäne beitreten. Damit dieser Domänenbeitritt funktioniert, müssen die folgenden Voraussetzungen erfüllt sein:

• Der Zeitunterschied der Uhren auf dem Gateway und dem DC darf NICHT mehr als fünf Minuten betragen.
• Der Sophos UTM-Hostname muss im ADActive Directory-DNSDomain Name Service-System vorhanden sein.
• Sophos UTM muss das AD-DNS zur Weiterleitung (engl. forwarder) verwenden oder sie muss eine DNS-Anfrageroute zur AD-Domäne besitzen, die auf den AD-DNS-Server zeigt.

Hinweis – Active Directory Synchronisierung der Gruppenmitgliedschaft verwendet das SSO-Kennwort um mit dem AD-Server zu kommunizieren. Wenn dieses Kennwort geändert wird, muss das neue Kennwort eingegeben und Sophos UTM wieder verbunden werden, hierfür muss Sophos UTM wieder mit dem Server synchronisiert werden.

Um Active Directory SSO zu konfigurieren, gehen Sie folgendermaßen vor:

1. Legen Sie einen Active-Directory-Server auf der Registerkarte Server an.

2. Nehmen Sie die folgenden Einstellungen vor:

   Domäne: Name der Domäne (z.B. intranet.meinefirma.de). Sophos UTM sucht alle DCs, die über DNSDomain Name Service erreichbar sind.

   Admin-Benutzername: Tragen Sie den Benutzernamen ein, der auch die Rechte für die Anbindung von Computern an diese Domäne besitzt (in der Regel ist dies der „Administrator‟).

   Kennwort: Das Kennwort für den Admin-Benutzer.

3. Klicken Sie auf Übernehmen.

   Ihre Einstellungen werden gespeichert.

Hinweis zur Unterstützung der Kerberos-Authentifizierung: Damit die opportunistische SSO-Kerberos-Unterstützung funktioniert, MÜSSEN die Clients den FQDN-Hostnamen von Sophos UTM in ihren Proxyeinstellungen verwenden. Der NTLMv2-Modus ist von dieser Voraussetzung nicht betroffen und wird automatisch genutzt, wenn diese Voraussetzung nicht erfüllt ist oder wenn der Browser eine Kerberos-Authentifizierung nicht unterstützt.

eDirectory Single Sign-On (SSO)

Hier können Sie SSO für eDirectory konfigurieren. Wenn Sie eDirectory SSO als Authentifizierungsmethode unter Web Protection > Webfilter eingerichtet haben, wird der hier gewählte eDirectory-Server verwendet.

Um eDirectory SSO zu konfigurieren, gehen Sie folgendermaßen vor:

1. Legen Sie einen eDirectory-Server auf der Registerkarte Server an.

2. Nehmen Sie die folgenden Einstellungen vor:

   Server: Wählen Sie einen eDirectory-Server aus, für den Sie SSO aktivieren möchten.

   Sync-Interval: Die Zeit (in Sekunden) zwischen zwei Synchronisierungsereignissen zwischen Sophos UTM und eDirectory-Server.

3. Klicken Sie auf Übernehmen.

   Ihre Einstellungen werden gespeichert.