Instalando o Agente SSO do SonicWALL

O Agente SSO do SonicWALL faz parte do SonicWALL Directory Connector. Ele

deve ser instalado em pelo menos um e até oito, estações de trabalho ou servidores no
domínio do Windows que tenham acesso ao servidor do Active Directory com VPN ou
IP. O agente SSO do SonicWALL deve ter acesso ao seu firewall.

Para instalar o agente SSO do SonicWALL, siga as etapas a seguir:

1. Localize o arquivo executável do SonicWALL Directory Connector e clique duas

vezes nele. Pode demorar vários segundos para que o Assistente de Instalação seja
preparado para a instalação.

2. Na página inicial, clique em Avançar para continuar.

3. O Contrato de Licença é exibido. Selecione Aceito os termos do contrato de licença

e clique em Avançar para continuar.

4. Na página Informações do cliente, digite seu nome no campo Nome de usuário e o

nome de sua organização no campo Organização. Selecione esta opção para instalar o
aplicativo para Qualquer pessoa que utilize este computador (todos os usuários) ou
Somente para mim. Clique em Avançar para continuar.
 

5. Selecione a pasta de destino. Para usar a pasta padrão, C:\Program Files\

SonicWALL\DCON, clique em Avançar. Para especificar um local personalizado,
clique em Procurar, selecione a pasta e clique em Avançar.

6. Na página Configuração personalizada, o ícone de instalação é exibido por

padrão ao lado do recurso do agente SSO do SonicWALL. Clique em Avançar.
 

7. Clique em Instalar para instalar o agente SSO.

8. Para configurar uma conta de serviço comum que o agente SSO utilizará para efetuar
login em um domínio do Windows especificado, digite o nome de usuário de uma conta
com privilégios administrativos no campo Nome de usuário, a senha da conta no
campo Senha e o nome de domínio da conta no campo Nome de domínio. Clique em
Avançar.

Note Esta seção pode ser configurada posteriormente. Para ignorar esta etapa e
configurá-la mais tarde, clique em Ignorar.

9. Insira o endereço IP de seu firewall no campo IP do Dispositivo SonicWALL. Insira

o número da porta para o mesmo dispositivo no campo Porta do Dispositivo
SonicWALL. Insira uma chave compartilhada (um número hexadecimal de 1 a 16
dígitos) no campo Chave compartilhada. Clique em Avançar para continuar.
Note Estas informações podem ser configuradas posteriormente. Para ignorar esta etapa
e configurá-la mais tarde, deixe os campos em branco e clique em Avançar.

O Agente SSO do SonicWALL é instalado. A barra de status é exibida.

10. Quando a instalação estiver concluída, opcionalmente, marque a caixa Iniciar

SonicWALL Directory Connector para iniciar o SonicWALL Directory Connector e
clique em Finalizar.

Se você marcou a caixa Iniciar o SonicWALL Directory Connector, o SonicWALL

Directory Connector será exibido.

Instalando o Agente de serviços de terminal do SonicWALL

Instale o SonicWALL TSA em um ou mais servidores de terminal em sua rede dentro
do domínio do Windows. O SonicWALL TSA deve ter acesso ao seu dispositivo de
segurança SonicWALL e o dispositivo deve ter acesso ao TSA. Se você tiver um
software de firewall em execução no servidor de terminal, será necessário abrir o
número da porta UDP para as mensagens de entrada do dispositivo.

O SonicWALL TSA está disponível para download gratuitamente no MySonicWALL.

Para instalar o SonicWALL TSA, siga as etapas a seguir:

1. Em um sistema do Windows Terminal Server, faça o download de um dos programas

de instalação a seguir, dependendo do seu computador:

– SonicWALL TSAInstaller32.msi (32 bits, versão 3.0.28.1001 ou superior)

– SonicWALL TSAInstaller64.msi (64 bits, versão 3.0.28.1001 ou superior)

É possível encontrá-los em http://www.mysonicwall.com.

2. Clique duas vezes no programa de instalação para iniciar a instalação.

3. Na página inicial, clique em Avançar para continuar.

4. O Contrato de Licença é exibido. Selecione Concordo e clique em Avançar para

continuar.

5. Na janela Selecionar pasta de instalação, selecione a pasta de destino. Para usar a

pasta padrão, C:\Program Files\SonicWALL\SonicWALL Terminal Services Agent\,
clique em Avançar. Para especificar um local personalizado, clique em Procurar,
selecione a pasta e clique em Avançar.

6. Na janela Confirmar instalação, clique em Avançar para iniciar a instalação.

 

7. Aguarde enquanto o Agente de serviços de terminal do SonicWALL é instalado. A

barra de progresso indica o status.

8. Quando a instalação for concluída, clique em Fechar para sair do instalador.

9. É necessário reiniciar o sistema antes de iniciar o Agente de serviços de terminal do

SonicWALL. Para reiniciar imediatamente, clique em Sim na caixa de diálogo. Para
reiniciar mais tarde, clique em Não.

Configurando o Agente SSO do SonicWALL

O Agente SSO do SonicWALL se comunica com as estações de trabalho com o uso do

NetAPI ou WMI, que fornecem informações sobre os usuários que estão conectados em
uma estação de trabalho, incluindo os usuários do domínio, os usuários locais e os
serviços do Windows. O WMI é pré-instalado no Windows Server 2003, Windows XP,
Windows ME e Windows 2000. Para outras versões do Windows, acesse
www.microsoft.com para fazer o download do WMI. Verifique se o NetAPI ou WMI
está instalado antes de configurar o Agente SSO do SonicWALL.

O .NET Framework 2.0 deve estar instalado antes de configurar o Agente SSO do
SonicWALL. O .NET Framework pode ser baixado no website da Microsoft em
www.microsoft.com.

Para configurar as propriedades de comunicação do Agente SSO do SonicWALL,

realize as seguintes tarefas:
1. Inicie a Ferramenta de configuração do SonicWALL clicando duas vezes no atalho da
área de trabalho ou indo até Iniciar > Todos os programas > SonicWALL >
SonicWALL Directory Connector > Ferramenta de configuração do SonicWALL.

Note Se o endereço IP de um firewall padrão não tiver sido configurado ou se ele tiver
sido configurado incorretamente, uma pop-up será exibida. Clique em Sim para usar o
endereço IP padrão (192.168.168.168) ou clique em Não para usar a configuração atual.

Se você clicou em Sim, a mensagem Configuração antiga restaurada com êxito será
exibida. Clique em OK.

Se você clicou em Não ou se tiver clicado em Sim, mas a configuração padrão estiver
incorreta, a mensagem O serviço do Agente SSO do SonicWALL não está em
execução. A mensagem Verifique a configuração e inicie o serviço. será exibida.
Clique em OK.

Se a mensagem O serviço do Agente SSO do SonicWALL não está em execução. A

mensagem Verifique a configuração e inicie o serviço será exibida e o serviço do
Agente SSO será desabilitado por padrão. Para ativar o serviço, expanda a Ferramenta
de configuração do SonicWALL Directory Connector no painel de navegação à
esquerda, clicando no ícone +, realce Agente SSO do SonicWALL abaixo dele e, em
seguida, clique no botão .

2. No painel de navegação à esquerda, expanda a Ferramenta de configuração do

SonicWALL Directory Connector clicando no ícone +. Clique com o botão direito em
Agente SSO do SonicWALL e selecione Propriedades.

3. No menu suspenso Nível de registro em log, selecione o nível de eventos que serão
registrados no Log de Eventos do Windows. O nível de registro em log padrão é 1.
Selecione um dos seguintes níveis:

– Nível de registro em log 0 – Somente os eventos críticos são registrados.

– Nível de registro em log 1 – Os eventos críticos e significativamente graves são
registrados.

– Nível de registro em log 2 – Todas as solicitações do dispositivo são registradas,

usando o nível de depuração de gravidade.

Note Quando o Nível de registro em log 2 estiver marcado, o serviço do Agente SSO
será encerrado se o log de eventos do Windows atingir sua capacidade máxima.

4. No campo Atualizar hora, insira a frequência, em segundos, que o Agente SSO

atualizará o registro em log do usuário no status. O padrão é 60 segundos.

 
5. No menu suspenso Consultar origem, selecione o protocolo que o Agente SSO
utilizará para se comunicar com as estações de trabalho, NETAPI ou WMI.

Note O NetAPI fornecerá um desempenho mais rápido, embora provavelmente um

pouco menos preciso. O WMI fornecerá um desempenho mais lento, embora
provavelmente mais preciso. Com o NetAPI, o Windows informa o último login na
estação de trabalho caso o usuário ainda esteja conectado ou não. Isso significa que
depois que um usuário efetua logout de seu computador, o dispositivo ainda mostrará o
usuário como conectado quando o NetAPI é utilizado. Se outro usuário efetua login no
mesmo computador, então nesse ponto, o usuário anterior é desconectado do
SonicWALL.

O WMI é pré-instalado no Windows Server 2003, Windows XP, Windows ME e

Windows 2000. O NetAPI e o WMI podem ser manualmente baixados e instalados.
Eles fornecem informações sobre os usuários que estão conectados em uma estação de
trabalho, incluindo os usuários do domínio, os usuários locais e os serviços do
Windows.

6. No campo Arquivo de configuração, digite o caminho do arquivo de configuração.

O caminho de padrão é C:\Program Files\SonicWALL\DCON\SSO\CIAConfig.xml.
 

7. Clique em Aceitar.

8. Clique em OK.

Configurando o Dispositivo de Segurança de Rede Dell SonicWALL

Utilize estas instruções para adicionar manualmente um firewall, caso não tenha
adicionado um durante a instalação, ou para adicionar firewalls adicionais.
Para adicionar um firewall, siga as etapas a seguir:

1. Inicie o Configurador do Agente SSO do SonicWALL.

 
2. Expanda as árvores do SonicWALL Directory Connector e do Agente SSO do
SonicWALL na coluna à esquerda, clicando no botão +. Clique com o botão direito em
Dispositivo SonicWALL e selecione Adicionar.

3. Insira o endereço IP do dispositivo de seu Dispositivo de Segurança de Rede Dell

SonicWALL no campo IP do dispositivo. Insira a porta para o mesmo dispositivo no
campo Porta do Dispositivo. A porta padrão é 2258. Forneça um nome amigável ao
seu dispositivo no campo Nome amigável. Insira uma chave compartilhada no campo
Chave compartilhada ou clique em Gerar chave para gerar uma chave compartilhada.
Ao concluir, clique em OK.

Seu dispositivo será exibido no painel de navegação à esquerda abaixo da árvore

Dispositivo Dell SonicWALL.

Editando dispositivos no Agente SSO do SonicWALL

É possível editar todas as configurações de firewalls adicionadas anteriormente no

Agente SSO do SonicWALL, incluindo o endereço IP, número da porta, nome amigável
e chave compartilhada. Para editar um firewall no Agente SSO do SonicWALL,
selecione o dispositivo no painel de navegação à esquerda e clique no ícone de edição
, localizado acima do painel de navegação à esquerda. Também é possível clicar na
guia Editar, localizada na parte inferior da janela do lado direito.

Excluindo dispositivos do Agente SSO do SonicWALL

Para excluir um firewall adicionado anteriormente no Agente SSO do SonicWALL,

selecione o dispositivo no painel de navegação à esquerda e clique no ícone de exclusão
, localizado acima do painel de navegação à esquerda.

Modificando serviços no Agente SSO do SonicWALL

É possível iniciar, parar e pausar os serviços do Agente SSO do SonicWALL nos
firewalls. Para pausar os serviços de um dispositivo, selecione o dispositivo no painel de
navegação à esquerda e clique no botão de pausa . Para parar os serviços de um
dispositivo, selecione o dispositivo no painel de navegação à esquerda e clique no botão

de interrupção . Para reiniciar os serviços, clique no botão de inicialização .

Note É possível que você seja solicitado a reiniciar os serviços depois de fazer
alterações de configuração em um firewall no Agente SSO do SonicWALL. Para
reiniciar os serviços, pressione o botão de interrupção e, em seguida, o botão de
inicialização.

Configurando o Agente de serviços de terminal do SonicWALL

Depois de instalar o SonicWALL TSA e reiniciar seu sistema do Windows Server, é

possível clicar duas vezes no ícone da área de trabalho do SonicWALL TSA criado pelo
instalador para iniciá-lo para configuração, para gerar um relatório de resolução de
problemas (TSR) ou para exibir as informações de status e versão.

Consulte as seções a seguir:

• Adicionando um Dispositivo de Segurança de Rede Dell SonicWALL às

configurações do SonicWALL TSA

• Criando um relatório de resolução de problemas no SonicWALL TSA

• Exibindo o status e versão do SonicWALL TSA

Adicionando um Dispositivo de Segurança de Rede Dell SonicWALL às configurações do

SonicWALL TSA

Realize as etapas a seguir para adicionar um dispositivo de segurança de rede Dell

SonicWALL ao SonicWALL TSA:

1. Clique duas vezes no ícone da área de trabalho do SonicWALL TSA.

2. A janela do Agente de serviços de terminal do SonicWALL será exibida. Na guia

Configurações, insira o endereço IP do firewall no campo IP do dispositivo.
 

3. Insira a porta de comunicação no campo Porta do dispositivo. A porta padrão é

2259, mas uma porta personalizada pode ser utilizada em seu lugar. Essa porta deve ser
aberta no sistema do Windows Server.

4. Insira a chave de criptografia no campo Segredo compartilhado. Selecione a caixa

de seleção Exibir segredo para exibir os caracteres e verificar se eles estão corretos. O
mesmo segredo compartilhado deve ser configurado no firewall.

5. Na lista suspensa Tempo limite, selecione o número de segundos que o agente

aguardará por uma resposta do dispositivo antes de realizar uma nova tentativa de
notificação. O intervalo é de 5 a 10 segundos e o padrão é 5 segundos.

6. Na lista suspensa Repetições, selecione o número de vezes que o agente realizará

uma tentativa de enviar uma notificação para o dispositivo quando ele não receber uma
resposta. O intervalo de repetições é de 3 a 10 e o padrão é 5.

7. Para habilitar detalhes completos em mensagens de log, selecione a caixa de seleção

Habilitar log detalhado. Realize esta etapa somente para fornecer informações
adicionais e detalhadas em um relatório de resolução de problemas. Evite deixar esta
opção habilitada em outros momentos, pois ela pode afetar o desempenho.

8. Clique em Aplicar. Uma caixa de diálogo indica que o serviço SonicWALL TSA foi
reiniciado com as novas configurações.

Criando um relatório de resolução de problemas no SonicWALL TSA

É possível criar um relatório de resolução de problemas (TSR) que contém todas as
mensagens de log atuais e informações sobre o agente, driver e as configurações do
sistema para serem examinadas ou enviadas ao Suporte Técnico SonicWALL para
assistência.

Realize as etapas a seguir para criar um TSR para o SonicWALL TSA:

1. Clique duas vezes no ícone da área de trabalho do SonicWALL TSA.

2. A janela do Agente de serviços de terminal do SonicWALL será exibida. Clique na

guia Relatórios.

3. Para gerar o TSR e enviá-lo automaticamente por e-mail ao Suporte Técnico

SonicWALL, clique em Enviar.

4. Para gerar o TSR e examiná-lo em seu editor de texto padrão, clique em Exibir.

5. Para gerar o TSR e salvá-lo como um arquivo de texto, clique em Salvar como.

6. Ao concluir, clique em Fechar.

Exibindo o status e versão do SonicWALL TSA

Para exibir o status atual do serviço do SonicWALL TSA em seu sistema do Windows
Server ou para exibir o número da versão do SonicWALL TSA, realize as seguintes
etapas:

1. Clique duas vezes no ícone da área de trabalho do SonicWALL TSA.

2. A janela do Agente de serviços de terminal do SonicWALL será exibida. Clique na

guia Sobre.
 

3. Clique em Fechar.

Configurando o SonicOS para utilizar o Agente SSO do SonicWALL

Siga o procedimento a seguir para configurar seu firewall para utilizar o Agente SSO do
SonicWALL:

1. Vá até Usuários > Configurações.

2. Na seção Método(s) de Login Único, selecione Agente SSO do SonicWALL.

Utilize esta opção para adicionar e configurar um TSA, bem como um Agente SSO para
o método SSO.

Clique em Configurar SSO. A página de Configuração da autenticação SSO é exibida.

Clique na guia Agentes de SSO na parte superior esquerda e na guia Agentes de SSO
em Configurações do agente de autenticação para exibir os Agentes de SSO
configurados. O LED verde ao lado do endereço IP do agente indica que o agente está
atualmente sendo executado. Um LED vermelho indicaria que o agente está inativo. Um
LED cinza mostra que o agente está desabilitado. Os LEDs são atualizados
dinamicamente com o uso do AJAX.

Clique no botão Adicionar para criar um agente. A página é atualizada para exibir uma
nova linha na tabela na parte superior e duas novas guias (Configurações e Avançadas)
na parte inferior da página.
 

5. Insira as seguintes informações na guia Configurações:

• Para a guia Nome do host ou endereço IP, digite o nome ou endereço IP da estação
de trabalho no qual Agente SSO do SonicWALL está instalado.
Ao digitar valores nos campos, a linha na parte superior é atualizada em vermelho para
destacar as novas informações.

• Em Porta, insira o número da porta que o Agente SSO do SonicWALL está utilizando
para se comunicar com o dispositivo. A porta padrão é 2258. Observe que os agentes
em endereços IP diferentes podem ter o mesmo número de porta.

• Em Chave compartilhada, insira a chave compartilhada criada ou gerada no Agente

SSO do SonicWALL. A chave compartilhada deve ter uma correspondência exata.
Insira novamente a chave compartilhada no campo Confirmar chave compartilhada.

• Em Tempo limite (segundos), insira um número de segundos antes da tentativa de

autenticação expirar. Este campo é preenchido automaticamente com o padrão de 10
segundos.

• Em Repetições, insira o número de tentativas de autenticação. O padrão é 6.

6. Clique no ícone Avançadas e, em seguida, insira as seguintes informações:

• Em Máximo de solicitações a serem enviadas por vez, insira o número máximo de

solicitações a serem enviadas do dispositivo ao agente de uma só vez. O padrão é 32.
O agente processa várias solicitações ao mesmo tempo, gerando um segmento separado
no PC do agente para lidar com cada uma delas. Enviar muitas solicitações ao mesmo
tempo pode sobrecarregar o PC. Por outro lado, se o número de solicitações simultâneas
enviadas do dispositivo for muito baixo, algumas solicitações terão que aguardar,
possivelmente ocasionando um estouro no buffer de anel. Muitas solicitações em espera
podem causar tempos de resposta lentos na autenticação de Login Único. Para obter
mais informações sobre a verificação de estouros de buffer de anel e estatísticas
relacionadas no TSR do SonicOS, consulte Ajustando configurações avançadas do
Login Único.

7. Clique na guia Configurações gerais em Configurações do agente de autenticação

para configurar as seguintes opções:

• Selecione a caixa de seleção Habilitar autenticação do agente SSO para usar o

Agente SSO para a autenticação de usuário.

• Selecione a caixa de seleção Tentar que o próximo agente não obtenha nenhum
nome do NetAPI/WMI para forçar uma nova tentativa de autenticação por meio de um
agente SSO diferente se não houver nenhuma resposta ou um erro do primeiro agente.
Isso afeta somente os agentes que utilizam o NetAPI/WMI.

• Selecione a caixa de seleção Não bloquear tráfego de usuário ao aguardar pelo

SSO para usar a política padrão enquanto o usuário está sendo identificado. Isso evita
atrasos na navegação.

• Selecione a caixa de seleção Incluindo e o botão de opção Todas as regras de acesso

ou Regras de acesso selecionadas para permitir o tráfego afetado pelas regras de
acesso que exige a autenticação de usuário, enquanto aguarda pela identificação do
usuário.

CAUTION Atenção: Isso pode temporariamente permitir o acesso que não seria
permitido quando o usuário é identificado.

8. Clique na guia Usuários para exibir a página Configurações de usuário para

especificar as opções a seguir:

Selecione a caixa de seleção Permitir somente usuários listados localmente para

permitir que somente usuários listados localmente no dispositivo sejam autenticados.

• Selecione a caixa de seleção Nomes de usuário simples no banco de dados local

para utilizar nomes de usuário simples. Ao ser selecionado, o componente de domínio
de um nome de usuário será ignorado. Os nomes de usuário retornados do agente de
autenticação geralmente incluem um componente de domínio como, por exemplo,
domínio1/usuário1. Se esta caixa não estiver marcada, os nomes de usuário no banco de
dados local devem corresponder exatamente aos nomes completos retornados do agente,
incluindo o componente de domínio.

• Selecione a caixa de seleção Permitir acesso limitado a usuários fora do domínio

para permitir acesso limitado a usuários que estão conectados a um computador, mas
não em um domínio. Estes usuários não receberão a associação do grupo Usuários
confiáveis, mesmo quando definidos localmente e, portanto não terão nenhum acesso
definido para os Usuários confiáveis. Eles são identificados nos logs como nome-do-
computador/nome-de-usuário.

Ao usar o banco de dados de usuários locais para autenticar usuários, se a opção Nomes
de usuário simples no banco de dados local estiver desabilitada, os nomes de usuário
devem ser configurados no banco de dados local usando a identificação completa nome-
do-computador/nome-de-usuário.

• Se sua rede incluir computadores com Windows ou dispositivos sem Windows com
firewalls pessoais em execução, selecione a caixa de seleção Investigar usuário sobre
e, em seguida, selecione NetAPI sobre NetBIOS, NetAPI sobre TCP ou WMI,
dependendo de qual esteja configurado para o Agente SSO. Isso faz com que o firewall
investigue uma resposta na porta NetAPI/WMI antes de solicitar que o Agente SSO
identifique um usuário. Se nenhuma resposta ocorrer, nesses dispositivos causarão uma
falha no SSO imediatamente. Esses dispositivos não respondem ou podem bloquear as
mensagens de rede do Windows utilizadas pelo Agente SSO para identificar um
usuário. O Tempo limite (segundos) de investigação é definido como 5 segundos por
padrão.

• Selecione a caixa de seleção Modo do teste de investigação para permitir testes de

investigações do SSO, para investigar se ela está funcionando corretamente durante o
SSO, sem interferir nas autenticações de usuário. As investigações são enviadas após a
inicialização da autenticação de usuário por meio do Agente SSO.

• Para usar o LDAP para recuperar informações de usuário, selecione o botão de opção
Usar LDAP para recuperar informações de grupo de usuários . Clique em
Configurar para definir as configurações do LDAP. A página de Configuração do
LDAP é exibida. Para obter informações de configuração para esta página, consulte
Configuração avançada do LDAP.

• Para usar as configurações do grupo de usuários definida localmente, selecione o

botão de opção Configuração local.

• No campo Taxa de pesquisa (minutos), insira um intervalo de pesquisa, em minutos

(o padrão é 1). O dispositivo de segurança pesquisará a estação de trabalho que executa
o Agente SSO uma vez a cada intervalo para verificar se os usuários ainda estão
conectados.

• No campo Tempo de espera após (minutos), insira um tempo, em minutos, que o

dispositivo de segurança aguardará antes de realizar uma nova tentativa de identificar o
tráfego após uma falha inicial ao fazê-lo. Este recurso limita a taxa de solicitações para
o agente. O padrão é 1.

• Selecione a caixa de seleção Pesquisar o mesmo agente que autenticou o usuário se

a topologia de rede exigir que agentes específicos sejam utilizados, dependendo do local
dos usuários, em vez de pesquisar qualquer agente para determinar se o usuário ainda
está conectado.
• Em após não encontrar nenhum usuário, insira o número de minutos que o
dispositivo deverá aguardar antes de realizar uma nova tentativa se ele obtiver erros do
agente SSO ou nos casos em que o agente relatar que nenhum usuário está conectado.

9. Para preencher a lista Nomes de usuário utilizados pelos serviços do Windows,

clique no botão Adicionar. Na caixa de diálogo Nome de usuário do serviço, digite o
nome de login do serviço (somente o nome simples, sem o domínio ou o nome do PC)
em Insira o nome de uma conta de usuário utilizada por um serviço do Windows e,
em seguida, clique em OK.

O objetivo desta lista é distinguir os nomes de login utilizados pelos serviços do

Windows dos logins de usuários reais. Quando o Agente SSO consulta o Windows para
localizar o usuário conectado a um computador, o Windows, na verdade, retorna uma
lista de contas de usuário que estão/foram conectados ao computador e não faz distinção
de logins de usuário dos logins de serviço, não fornecendo ao Agente SSO, portanto,
uma maneira de determinar que um nome de login pertence a um serviço. Isso pode
fazer com que o Agente SSO relate incorretamente um nome de serviço em vez do
nome real de usuário.

É possível digitar aqui até 64 nomes de login que podem ser utilizados por serviços nos
computadores de usuários finais. O Agente SSO ignorará quaisquer logins com esses
nomes.

Se, ao usar o Login Único, você observar nomes de usuário inesperados mostrados na
página Usuários > Status ou logs de logins de usuários ou falha no login de usuário com
nomes de usuário inesperados, eles podem ser devido a logins de serviço do Windows;
esses nomes de usuário devem ser configurados aqui para que o Agente SSO saiba
ignorá-los.

Nos casos em que existam vários firewalls se comunicando com um Agente SSO, a lista
de nomes de contas de serviço deve ser configurada em somente um deles. O efeito da
configuração de várias listas em dispositivos diferentes é indefinido.

10. Para editar um nome de conta de serviço existente, selecione o nome e clique em
Editar. Faça as alterações desejadas na caixa de diálogo Nome de usuário do serviço e,
em seguida, clique em OK.

Para remover nomes de contas de serviço, selecione um ou mais nomes e, em seguida,

clique em Remover.
11. Clique na guia Imposição , se desejar acionar o SSO no tráfego de uma zona
específica ou desviar o SSO para o tráfego de dispositivos de não usuários, como
servidores proxy internos da web ou telefones IP.

Em Imposição do SSO por zona, selecione as caixas de seleção para todas as zonas
que você deseja acionar o SSO para identificar usuários quando o tráfego for enviado.
Se o SSO já for solicitada em uma zona por Controle de aplicativos ou outras políticas,
essas caixas de seleção serão pré-selecionadas e não poderão ser limpas. Se os Serviços
de convidados estiverem habilitados em uma zona, o SSO não poderá ser imposto e não
será possível selecionar a caixa de seleção.

Estas configurações de imposição do SSO por zona são úteis para identificar e rastrear
os usuários no registro em log de eventos e nas visualizações de Monitoramento do
AppFlow, mesmo quando o SSO não é acionada por políticas de filtragem de conteúdo,
IPS ou Controle de aplicativos ou pelas regras de acesso do firewall que exigem a
autenticação do usuário.

Nas zonas nas quais as políticas de serviços de segurança ou as regras de acesso do

firewall estejam definidas para exigir a autenticação do usuário, o SSO será sempre
iniciada para o tráfego afetado e não será necessário habilitar a imposição do SSO aqui
também.

– Para ignorar o SSO para o tráfego de determinados dispositivos ou locais e aplicar a

política de filtragem de conteúdo padrão ao tráfego, selecione o objeto de endereço
adequado ou o grupo de endereços no primeiro menu suspenso em Desvio do SSO. Para
ignorar o SSO para determinados serviços ou tipos de tráfego, selecione o serviço no
segundo menu suspenso.

A primeira configuração é utilizada nos casos em que o tráfego que estaria sujeito à
filtragem dos serviços de segurança possa surgir de um dispositivo diferente da estação
de trabalho de um usuário (como um servidor proxy interno da web ou um telefone IP).
Ela impede que o SonicWALL tente identificar esse dispositivo como um usuário da
rede, a fim de selecionar a política de filtragem de conteúdo que será aplicada. A
política de filtragem de conteúdo padrão será utilizada para todo o tráfego dos
endereços IP selecionados.

A segunda configuração é adequada para o tráfego de usuário que não precise ser
autenticado; acionar o SSO poderá causar um atraso inaceitável do serviço.

As configurações de desvio do SSO não são aplicadas quando o SSO é acionado pelas
regras de acesso do firewall que exijam a autenticação do usuário. Para configurar esse
tipo de desvio do SSO, adicione regras de acesso que não exijam a autenticação do
usuário para o tráfego afetado. Consulte Adicionar regras de acesso para obter mais
informações sobre a configuração das regras de acesso.

Note Por padrão, os usuários do Linux e Mac que não são autenticados pelo SSO por
meio do Samba são atribuídos à política de filtragem de conteúdo padrão. Para
redirecionar todos esses usuários não autenticados pelo SSO a inserir manualmente suas
credenciais, crie uma regra de acesso na zona WAN para a zona LAN no serviço
HTTP, com Usuários permitidos definido como Todos. Em seguida, configure a
política do CFS adequada para os usuários ou grupos de usuários. Consulte Adicionar
regras de acesso para obter mais informações sobre a configuração das regras de acesso.

12. Clique na guia Serviços de terminal para exibir a página de Configurações do

Agente de serviços de terminal.

– Clique na guia Agentes de serviços de terminal e, em seguida, clique no botão

Adicionar. A página é atualizada para exibir uma nova linha na tabela na parte superior
e novos campos de entrada na metade inferior da página. Para os agentes existentes, um
ícone de estilo LED verde ao lado de um agente indica que o agente está ativo e em
execução. Um ícone de LED vermelho indica que o agente está inativo. Um ícone de
LED amarelo significa que o TSA está ocioso e que o dispositivo não escutou nenhuma
informação dele por 5 minutos ou mais. Como o TSA envia notificações para o
dispositivo em vez do dispositivo enviar solicitações para o agente, a falta de
notificações poderia significar a ocorrência de um problema, porém mais provavelmente
significa que nenhum usuário no servidor do terminal está ativo no momento.

– No campo Nome do host ou endereço IP, digite o nome ou endereço IP do terminal

do servidor no qual o SonicWALL TSA está instalado. Se o servidor do terminal tiver
hospedagem múltipla (tiver vários endereços IP) e você estiver identificando o host pelo
endereço IP em vez do nome DNS, digite todos os endereços IP como uma lista
separada por vírgulas.
– Ao digitar valores nos campos, a linha na parte superior é atualizada em vermelho
para destacar as novas informações.

– Em Porta, insira o número da porta que o SonicWALL TSA está utilizando para se
comunicar com o dispositivo. A porta padrão é 2259. Observe que os agentes em
endereços IP diferentes podem ter o mesmo número de porta.

– No campo Chave compartilhada, insira a chave compartilhada criada ou gerada no

SonicWALL TSA. A chave compartilhada deve ter uma correspondência exata. Insira
novamente a chave compartilhada no campo Confirmar chave compartilhada.

13. Clique na guia Configurações gerais em Configurações do Agente de serviços de

terminal para configurar as seguintes opções:

– Selecione a caixa de seleção Habilitar autenticação do agente de serviço de

terminal para usar o TSA para a autenticação de usuário.

– A caixa de seleção Permitir tráfego de serviços no servidor do terminal para

ignorar a autenticação do usuário nas regras de acesso é selecionada por padrão.
Isso permite que o tráfego, como atualizações do Windows ou atualizações de antivírus,
que não esteja associado a nenhuma sessão de login do usuário, passe sem autenticação.
Se esta caixa de seleção for desmarcada, o tráfego de serviços pode ser bloqueado se as
regras de acesso do firewall exigirem a autenticação do usuário. Nesse caso, é possível
adicionar regras para permitir o acesso para “Todos” aos destinos de tráfego de serviços
ou configurar os destinos como URLs do HTTP que possam ignorar a autenticação do
usuário nas regras de acesso.

14. Clique na guia NTLM. A página de Autenticação de NTLM no navegador é

exibida.
A autenticação de NTLM é suportada por navegadores com base no Mozilla e pode ser
utilizada como um suplemento para identificar usuários por meio de um agente SSO ou,
com algumas limitações, por conta própria sem o agente. O firewall interage
diretamente com o navegador para autenticar o usuário. Os usuários conectados com
credenciais de domínio são autenticados de forma transparente; em outros casos, talvez
seja necessário que o usuário insira as credenciais para efetuar login no dispositivo, mas
ele precisará fazer isso só uma vez já que as credenciais são salvas.

Consulte as dicas de ferramentas nesta guia para obter detalhes adicionais e consulte
Como funciona a Autenticação de NTLM do navegador? para obter mais informações.

– Selecione uma das opções a seguir na lista suspensa Usar NTLM para autenticar o
tráfego HTTP:

: •: Nunca – Nunca use a autenticação de NTML

: •: Antes de tentar o SSO por meio do agente – Tente autenticar usuários com o NTLM antes de usar o agente SSO do SonicWALL

: •: Somente em caso de falha do SSO por meio do agente – Tente autenticar usuários por meio do agente SSO primeiro; em caso de falha, tente usar o NTLM
– Para Domínio de autenticação, faça o seguinte:

: •: Insira o nome completo do DNS do domínio do firewall no formato “www.somedomain.com”

: •: Selecione a caixa de seleção Usar o domínio de configuração do LDAP para usar o mesmo domínio que é utilizado na configuração do LDAP.
A autenticação totalmente transparente só pode ocorrer se o navegador considerar o domínio do dispositivo como o domínio local.

– Para Redirecionar o navegador para este dispositivo por meio do, selecione uma das opções a seguir para determinar a forma como o navegador de um usuário é
inicialmente redirecionado para o servidor da web do próprio firewall:

: •: O endereço IP da interface – Selecione esta opção para redirecionar o navegador para o endereço IP da interface do servidor da web do dispositivo.

: •: Seu nome de domínio a partir de uma pesquisa reversa do DNS do endereço IP da interface – Habilita o botão Mostrar cache reverso do DNS localizado na parte
inferior da janela; quando clicado, uma pop-up exibe a Interface do servidor da web do dispositivo, Endereço IP, Nome DNS e TTL em alguns segundos. Clique no botão para
verificar o nome de domínio (nome DNS) que está sendo utilizado para redirecionar o navegador do usuário.

: •: Seu nome de domínio configurado – Use o nome de domínio do firewall, conforme configurado em Sistema > Administração.

: •: O nome do certificado de administração – Use o certificado importado que está selecionado para o Gerenciamento do HTTPS na web na página Sistema >
Administração.

– Insira um número de repetições em Número máximo de repetições a serem permitidas em caso de falha na autenticação.

– Para detectar quando os usuários efetuam logout, selecione o método de pesquisa que será utilizado pelo dispositivo para os usuários do Macintosh, Linux e Windows nas
opções No temporizador de pesquisa, para usuários autenticados por meio do NTLM. Selecione o botão de opção para um dos métodos a seguir para os usuários de cada
tipo de computador:

: •: Pesquisar por meio do agente SSO – Se estiver usando um Agente SSO em sua rede, selecione esta opção para usá-lo para pesquisar seus usuários; para os usuários
autenticados por meio do NTLM, o nome de usuário que o agente descobre deve corresponder ao nome de usuário para a autenticação de NTLM ou a sessão de login será
encerrada. Você pode desejar selecionar um método de pesquisa diferente para os usuários do Linux ou MacOS, já que esses sistemas não oferecem suporte às solicitações e
rede do Windows utilizadas pelo agente SSO.

: •: Autenticar novamente por meio do NTLM – Este método será transparente para o usuário se o navegador estiver configurado para armazenar as credenciais de domínio
ou se o usuário instruiu o navegador a salvar as credenciais.

: •: Não autenticar novamente – Se esta opção for selecionada, o logout só será detectado por meio do tempo limite de inatividade.
– Se estiver usando servidores legados mais antigos que exijam que os componentes legados do LAN Manager sejam incluídos nas mensagens do NTLM, selecione a caixa de
seleção Encaminhar LanMan legado no NTLM. Isso pode causar uma falha na autenticação dos servidores do Windows mais recentes que não permitem o LanMan no
NTLM por padrão, pois ele não é seguro.

15. Clique na guia Contabilização RADIUS para exibir a página de Login Único da Contabilização RADIUS.

O Login Único pela contabilização RADIUS permite que o dispositivo atue como um servidor de contabilização RADIUS para dispositivos de terceiro externos e conecte ou
desconecte usuários com base nas mensagens de contabilização desses dispositivos. O SonicOS também pode ser configurado para encaminhar as mensagens de contabilização
para outro servidor de contabilização RADIUS.

16. Clique na guia Testar para exibir a página de Configurações do Agente de autenticação de teste.

Note Observe que esta opção aplicará quaisquer alterações que tenham sido realizadas.

É possível testar a conectividade entre o dispositivo e um agente SSO ou TSA. Também é possível testar se o agente SSO está corretamente configurado para identificar um
usuário conectado em uma estação de trabalho. Se você tiver vários agentes configurados, selecione o agente SSO ou TSA que será testado na lista suspensa Selecione agente a
ser testado. A lista suspensa inclui os agentes SSO na parte superior e do TSA ao final do cabeçalho – Terminal Server Agents –.

– Selecione o botão de opção Verificar conectividade do agente e, em seguida, clique no botão Testar. Isso testará a comunicação com o agente de autenticação. Se o firewall
é capaz de estabelecer uma conexão com o agente SSO, a mensagem O agente está pronto será exibida. Se um TSA for testado, o campo Status do teste exibirá a mensagem e
a versão e o endereço IP do servidor serão exibidos no campo Informações retornadas do agente.
 

• Somente para os agentes SSO, selecione o botão de opção Verificar usuário, digite o endereço IP de uma estação de trabalho no campo Endereço IP da estação de trabalho
e, em seguida, clique em Testar. Isso testará se o agente SSO está corretamente configurado para identificar o usuário conectado em uma estação de trabalho.

Tip Se você receber mensagens de O agente não está respondendo ou Erro de configuração, verifique suas configurações e realize esses testes novamente.

17. Ao concluir toda a configuração do Agente de autenticação, clique em OK.