Escolar Documentos
Profissional Documentos
Cultura Documentos
8. Para configurar uma conta de serviço comum que o agente SSO utilizará para efetuar
login em um domínio do Windows especificado, digite o nome de usuário de uma conta
com privilégios administrativos no campo Nome de usuário, a senha da conta no
campo Senha e o nome de domínio da conta no campo Nome de domínio. Clique em
Avançar.
Note Esta seção pode ser configurada posteriormente. Para ignorar esta etapa e
configurá-la mais tarde, clique em Ignorar.
O .NET Framework 2.0 deve estar instalado antes de configurar o Agente SSO do
SonicWALL. O .NET Framework pode ser baixado no website da Microsoft em
www.microsoft.com.
Note Se o endereço IP de um firewall padrão não tiver sido configurado ou se ele tiver
sido configurado incorretamente, uma pop-up será exibida. Clique em Sim para usar o
endereço IP padrão (192.168.168.168) ou clique em Não para usar a configuração atual.
Se você clicou em Sim, a mensagem Configuração antiga restaurada com êxito será
exibida. Clique em OK.
Se você clicou em Não ou se tiver clicado em Sim, mas a configuração padrão estiver
incorreta, a mensagem O serviço do Agente SSO do SonicWALL não está em
execução. A mensagem Verifique a configuração e inicie o serviço. será exibida.
Clique em OK.
3. No menu suspenso Nível de registro em log, selecione o nível de eventos que serão
registrados no Log de Eventos do Windows. O nível de registro em log padrão é 1.
Selecione um dos seguintes níveis:
Note Quando o Nível de registro em log 2 estiver marcado, o serviço do Agente SSO
será encerrado se o log de eventos do Windows atingir sua capacidade máxima.
5. No menu suspenso Consultar origem, selecione o protocolo que o Agente SSO
utilizará para se comunicar com as estações de trabalho, NETAPI ou WMI.
7. Clique em Aceitar.
8. Clique em OK.
Utilize estas instruções para adicionar manualmente um firewall, caso não tenha
adicionado um durante a instalação, ou para adicionar firewalls adicionais.
Para adicionar um firewall, siga as etapas a seguir:
2. Expanda as árvores do SonicWALL Directory Connector e do Agente SSO do
SonicWALL na coluna à esquerda, clicando no botão +. Clique com o botão direito em
Dispositivo SonicWALL e selecione Adicionar.
Note É possível que você seja solicitado a reiniciar os serviços depois de fazer
alterações de configuração em um firewall no Agente SSO do SonicWALL. Para
reiniciar os serviços, pressione o botão de interrupção e, em seguida, o botão de
inicialização.
8. Clique em Aplicar. Uma caixa de diálogo indica que o serviço SonicWALL TSA foi
reiniciado com as novas configurações.
4. Para gerar o TSR e examiná-lo em seu editor de texto padrão, clique em Exibir.
5. Para gerar o TSR e salvá-lo como um arquivo de texto, clique em Salvar como.
Para exibir o status atual do serviço do SonicWALL TSA em seu sistema do Windows
Server ou para exibir o número da versão do SonicWALL TSA, realize as seguintes
etapas:
3. Clique em Fechar.
Siga o procedimento a seguir para configurar seu firewall para utilizar o Agente SSO do
SonicWALL:
Clique no botão Adicionar para criar um agente. A página é atualizada para exibir uma
nova linha na tabela na parte superior e duas novas guias (Configurações e Avançadas)
na parte inferior da página.
• Para a guia Nome do host ou endereço IP, digite o nome ou endereço IP da estação
de trabalho no qual Agente SSO do SonicWALL está instalado.
Ao digitar valores nos campos, a linha na parte superior é atualizada em vermelho para
destacar as novas informações.
• Em Porta, insira o número da porta que o Agente SSO do SonicWALL está utilizando
para se comunicar com o dispositivo. A porta padrão é 2258. Observe que os agentes
em endereços IP diferentes podem ter o mesmo número de porta.
• Selecione a caixa de seleção Tentar que o próximo agente não obtenha nenhum
nome do NetAPI/WMI para forçar uma nova tentativa de autenticação por meio de um
agente SSO diferente se não houver nenhuma resposta ou um erro do primeiro agente.
Isso afeta somente os agentes que utilizam o NetAPI/WMI.
CAUTION Atenção: Isso pode temporariamente permitir o acesso que não seria
permitido quando o usuário é identificado.
Ao usar o banco de dados de usuários locais para autenticar usuários, se a opção Nomes
de usuário simples no banco de dados local estiver desabilitada, os nomes de usuário
devem ser configurados no banco de dados local usando a identificação completa nome-
do-computador/nome-de-usuário.
• Se sua rede incluir computadores com Windows ou dispositivos sem Windows com
firewalls pessoais em execução, selecione a caixa de seleção Investigar usuário sobre
e, em seguida, selecione NetAPI sobre NetBIOS, NetAPI sobre TCP ou WMI,
dependendo de qual esteja configurado para o Agente SSO. Isso faz com que o firewall
investigue uma resposta na porta NetAPI/WMI antes de solicitar que o Agente SSO
identifique um usuário. Se nenhuma resposta ocorrer, nesses dispositivos causarão uma
falha no SSO imediatamente. Esses dispositivos não respondem ou podem bloquear as
mensagens de rede do Windows utilizadas pelo Agente SSO para identificar um
usuário. O Tempo limite (segundos) de investigação é definido como 5 segundos por
padrão.
• Para usar o LDAP para recuperar informações de usuário, selecione o botão de opção
Usar LDAP para recuperar informações de grupo de usuários . Clique em
Configurar para definir as configurações do LDAP. A página de Configuração do
LDAP é exibida. Para obter informações de configuração para esta página, consulte
Configuração avançada do LDAP.
É possível digitar aqui até 64 nomes de login que podem ser utilizados por serviços nos
computadores de usuários finais. O Agente SSO ignorará quaisquer logins com esses
nomes.
Se, ao usar o Login Único, você observar nomes de usuário inesperados mostrados na
página Usuários > Status ou logs de logins de usuários ou falha no login de usuário com
nomes de usuário inesperados, eles podem ser devido a logins de serviço do Windows;
esses nomes de usuário devem ser configurados aqui para que o Agente SSO saiba
ignorá-los.
Nos casos em que existam vários firewalls se comunicando com um Agente SSO, a lista
de nomes de contas de serviço deve ser configurada em somente um deles. O efeito da
configuração de várias listas em dispositivos diferentes é indefinido.
10. Para editar um nome de conta de serviço existente, selecione o nome e clique em
Editar. Faça as alterações desejadas na caixa de diálogo Nome de usuário do serviço e,
em seguida, clique em OK.
Em Imposição do SSO por zona, selecione as caixas de seleção para todas as zonas
que você deseja acionar o SSO para identificar usuários quando o tráfego for enviado.
Se o SSO já for solicitada em uma zona por Controle de aplicativos ou outras políticas,
essas caixas de seleção serão pré-selecionadas e não poderão ser limpas. Se os Serviços
de convidados estiverem habilitados em uma zona, o SSO não poderá ser imposto e não
será possível selecionar a caixa de seleção.
Estas configurações de imposição do SSO por zona são úteis para identificar e rastrear
os usuários no registro em log de eventos e nas visualizações de Monitoramento do
AppFlow, mesmo quando o SSO não é acionada por políticas de filtragem de conteúdo,
IPS ou Controle de aplicativos ou pelas regras de acesso do firewall que exigem a
autenticação do usuário.
A primeira configuração é utilizada nos casos em que o tráfego que estaria sujeito à
filtragem dos serviços de segurança possa surgir de um dispositivo diferente da estação
de trabalho de um usuário (como um servidor proxy interno da web ou um telefone IP).
Ela impede que o SonicWALL tente identificar esse dispositivo como um usuário da
rede, a fim de selecionar a política de filtragem de conteúdo que será aplicada. A
política de filtragem de conteúdo padrão será utilizada para todo o tráfego dos
endereços IP selecionados.
A segunda configuração é adequada para o tráfego de usuário que não precise ser
autenticado; acionar o SSO poderá causar um atraso inaceitável do serviço.
As configurações de desvio do SSO não são aplicadas quando o SSO é acionado pelas
regras de acesso do firewall que exijam a autenticação do usuário. Para configurar esse
tipo de desvio do SSO, adicione regras de acesso que não exijam a autenticação do
usuário para o tráfego afetado. Consulte Adicionar regras de acesso para obter mais
informações sobre a configuração das regras de acesso.
Note Por padrão, os usuários do Linux e Mac que não são autenticados pelo SSO por
meio do Samba são atribuídos à política de filtragem de conteúdo padrão. Para
redirecionar todos esses usuários não autenticados pelo SSO a inserir manualmente suas
credenciais, crie uma regra de acesso na zona WAN para a zona LAN no serviço
HTTP, com Usuários permitidos definido como Todos. Em seguida, configure a
política do CFS adequada para os usuários ou grupos de usuários. Consulte Adicionar
regras de acesso para obter mais informações sobre a configuração das regras de acesso.
– Em Porta, insira o número da porta que o SonicWALL TSA está utilizando para se
comunicar com o dispositivo. A porta padrão é 2259. Observe que os agentes em
endereços IP diferentes podem ter o mesmo número de porta.
Consulte as dicas de ferramentas nesta guia para obter detalhes adicionais e consulte
Como funciona a Autenticação de NTLM do navegador? para obter mais informações.
– Selecione uma das opções a seguir na lista suspensa Usar NTLM para autenticar o
tráfego HTTP:
: •: Antes de tentar o SSO por meio do agente – Tente autenticar usuários com o NTLM antes de usar o agente SSO do SonicWALL
: •: Somente em caso de falha do SSO por meio do agente – Tente autenticar usuários por meio do agente SSO primeiro; em caso de falha, tente usar o NTLM
– Para Domínio de autenticação, faça o seguinte:
: •: Selecione a caixa de seleção Usar o domínio de configuração do LDAP para usar o mesmo domínio que é utilizado na configuração do LDAP.
A autenticação totalmente transparente só pode ocorrer se o navegador considerar o domínio do dispositivo como o domínio local.
– Para Redirecionar o navegador para este dispositivo por meio do, selecione uma das opções a seguir para determinar a forma como o navegador de um usuário é
inicialmente redirecionado para o servidor da web do próprio firewall:
: •: O endereço IP da interface – Selecione esta opção para redirecionar o navegador para o endereço IP da interface do servidor da web do dispositivo.
: •: Seu nome de domínio a partir de uma pesquisa reversa do DNS do endereço IP da interface – Habilita o botão Mostrar cache reverso do DNS localizado na parte
inferior da janela; quando clicado, uma pop-up exibe a Interface do servidor da web do dispositivo, Endereço IP, Nome DNS e TTL em alguns segundos. Clique no botão para
verificar o nome de domínio (nome DNS) que está sendo utilizado para redirecionar o navegador do usuário.
: •: Seu nome de domínio configurado – Use o nome de domínio do firewall, conforme configurado em Sistema > Administração.
: •: O nome do certificado de administração – Use o certificado importado que está selecionado para o Gerenciamento do HTTPS na web na página Sistema >
Administração.
– Insira um número de repetições em Número máximo de repetições a serem permitidas em caso de falha na autenticação.
– Para detectar quando os usuários efetuam logout, selecione o método de pesquisa que será utilizado pelo dispositivo para os usuários do Macintosh, Linux e Windows nas
opções No temporizador de pesquisa, para usuários autenticados por meio do NTLM. Selecione o botão de opção para um dos métodos a seguir para os usuários de cada
tipo de computador:
: •: Pesquisar por meio do agente SSO – Se estiver usando um Agente SSO em sua rede, selecione esta opção para usá-lo para pesquisar seus usuários; para os usuários
autenticados por meio do NTLM, o nome de usuário que o agente descobre deve corresponder ao nome de usuário para a autenticação de NTLM ou a sessão de login será
encerrada. Você pode desejar selecionar um método de pesquisa diferente para os usuários do Linux ou MacOS, já que esses sistemas não oferecem suporte às solicitações e
rede do Windows utilizadas pelo agente SSO.
: •: Autenticar novamente por meio do NTLM – Este método será transparente para o usuário se o navegador estiver configurado para armazenar as credenciais de domínio
ou se o usuário instruiu o navegador a salvar as credenciais.
: •: Não autenticar novamente – Se esta opção for selecionada, o logout só será detectado por meio do tempo limite de inatividade.
– Se estiver usando servidores legados mais antigos que exijam que os componentes legados do LAN Manager sejam incluídos nas mensagens do NTLM, selecione a caixa de
seleção Encaminhar LanMan legado no NTLM. Isso pode causar uma falha na autenticação dos servidores do Windows mais recentes que não permitem o LanMan no
NTLM por padrão, pois ele não é seguro.
15. Clique na guia Contabilização RADIUS para exibir a página de Login Único da Contabilização RADIUS.
O Login Único pela contabilização RADIUS permite que o dispositivo atue como um servidor de contabilização RADIUS para dispositivos de terceiro externos e conecte ou
desconecte usuários com base nas mensagens de contabilização desses dispositivos. O SonicOS também pode ser configurado para encaminhar as mensagens de contabilização
para outro servidor de contabilização RADIUS.
16. Clique na guia Testar para exibir a página de Configurações do Agente de autenticação de teste.
Note Observe que esta opção aplicará quaisquer alterações que tenham sido realizadas.
É possível testar a conectividade entre o dispositivo e um agente SSO ou TSA. Também é possível testar se o agente SSO está corretamente configurado para identificar um
usuário conectado em uma estação de trabalho. Se você tiver vários agentes configurados, selecione o agente SSO ou TSA que será testado na lista suspensa Selecione agente a
ser testado. A lista suspensa inclui os agentes SSO na parte superior e do TSA ao final do cabeçalho – Terminal Server Agents –.
– Selecione o botão de opção Verificar conectividade do agente e, em seguida, clique no botão Testar. Isso testará a comunicação com o agente de autenticação. Se o firewall
é capaz de estabelecer uma conexão com o agente SSO, a mensagem O agente está pronto será exibida. Se um TSA for testado, o campo Status do teste exibirá a mensagem e
a versão e o endereço IP do servidor serão exibidos no campo Informações retornadas do agente.
• Somente para os agentes SSO, selecione o botão de opção Verificar usuário, digite o endereço IP de uma estação de trabalho no campo Endereço IP da estação de trabalho
e, em seguida, clique em Testar. Isso testará se o agente SSO está corretamente configurado para identificar o usuário conectado em uma estação de trabalho.
Tip Se você receber mensagens de O agente não está respondendo ou Erro de configuração, verifique suas configurações e realize esses testes novamente.