docExemple de configuration ZyWALL USG
download 
Plainte Transcription
Exemple de configuration ZyWALL USG
Exemple de configuration ZyWALL USG Zywall USG et User Awareness via l’Active Directory (AD) L’objectif de cet article est de régler l’accès à Internet en fonction de l’utilisateur. Un utilisateur qui souhaite accéder à Internet par le biais d’un navigateur (http) doit d’abord s’authentifier auprès du ZyWALL USG. Cet exemple se limite à l’accès à Internet. Le trafic mail continue de fonctionner sans authentification. Pour l’authentification de l’utilisateur, l’Active Directory (AD) est utilisé. L’exemple de configuration utilise la structure d’active directory suivante : Studerus AG, Ringstr. 1, 8603 Schwerzenbach, www.studerus.ch August 2008 / ATA / Page 1 de 6 Exemple de configuration ZyWALL USG Le lien AD se configure par le biais du menu Object > AAA Server. Saisissez en tant que Host l’adresse IP du serveur AD. Dans Bind DN, on utilise dans notre exemple l’utilisateur administrator. On peut aussi avoir un autre utilisateur avec des droits d’administrateur. Dans notre exemple, le lien est CN=administrator,CN=Users,DC=server2003,DC=local. Saisissez comme mot de passe celui de l’utilisateur en question. Dans Base DN, saisissez le lien que le ZyWALL doit prendre pour démarrer la recherche d’utilisateurs. Dans Object > Authentication Method, par défaut, seulement local (la base de données locale) est indiqué. Afin que le ZyWALL puisse transférer au serveur AD les tentatives d’authentification d’utilisateurs qui ne sont pas définis localement, il faut ajouter le groupe AD « group ad ». Pour cela, éditez le groupe standard default : Studerus AG, Ringstr. 1, 8603 Schwerzenbach, www.studerus.ch August 2008 / ATA / Page 2 de 6 Exemple de configuration ZyWALL USG Avec le symbole [+], ajoutez une nouvelle ligne et choisissez group ad. Après l’enregistrement, l’aperçu de group ad a été modifié comme suit : Studerus AG, Ringstr. 1, 8603 Schwerzenbach, www.studerus.ch August 2008 / ATA / Page 3 de 6 Exemple de configuration ZyWALL USG Les paramètres standards des utilisateurs sont définis dans le menu Object > User/Group > Setting . Pour éviter qu’un utilisateur ne puisse s’authentifier plusieurs fois auprès de l’USG, nous limitons le nombre maximum d’enregistrements simultanés à 1. Après avoir enregistré la configuration, vous pouvez créer une nouvelle règle d’utilisateur en cliquant sur le symbole plus : Voici comment créer une nouvelle police d’utilisateur (User Policy) avec laquelle l’authentification est forcée à partir du LAN : Studerus AG, Ringstr. 1, 8603 Schwerzenbach, www.studerus.ch August 2008 / ATA / Page 4 de 6 Exemple de configuration ZyWALL USG La configuration de l’USG est maintenant terminée. Désormais, un utilisateur qui se trouve dans la zone LAN doit s’authentifier lors du premier accès au web. Lors de l’ouverture de son navigateur web, la fenêtre de login de l’USG apparaît. La condition est que le ZyWALL USG soit la passerelle standard (standard gateway) du PC. Saisissez les données d’utilisateur selon votre configuration et cliquez sur Login : Lorsque l’utilisateur s’est enregistré avec succès, une fenêtre popup qui affiche combien de temps il lui reste jusqu’à ce qu’il ait à se réenregistrer apparaît. Cette fenêtre ne peut s’afficher que si aucun antipopup n’est activé. Surveillez bien les messages de votre navigateur web. Studerus AG, Ringstr. 1, 8603 Schwerzenbach, www.studerus.ch August 2008 / ATA / Page 5 de 6 Exemple de configuration ZyWALL USG Pour lister les utilisateurs actuellement authentifiés, cliquez sur la page d’état dans la liste des utilisateurs : Avec la fonction Force Logout, l’administrateur de l’USG peut séparer manuellement un utilisateur. Studerus AG, Ringstr. 1, 8603 Schwerzenbach, www.studerus.ch August 2008 / ATA / Page 6 de 6
