当用户登录到网络中的计算机时,必须提供用户名和密码。 如果在 XTM 设备上使用 Active Directory authentication 来限制向指定用户或组的传出网络流量,您的用户还必须完成另一个步骤:必须手动重新登录以进行 XTM 设备身份验证,并获得对网络资源或 Internet 的访问权限。 要简化用户的登录流程,您可以使用单一登录 (SSO)。 通过 SSO,受信任网络或可选网络中的用户可以一次性提供用户凭据(当用户登录到他们的计算机时),并可以自动进行 XTM 设备身份验证。
WatchGuard SSO 解决方案包括 SSO Agent、SSO Client 和 Event Log Monitor。
要使用 SSO,必须在域中的域控制器计算机上安装 SSO Agent。 这使 SSO Agent 可作为具有域管理员权限的域用户帐户运行,并监视对您的 Active Directory 用户和组所做的更改。 具有这些权限之后,当用户尝试向域进行认证时,SSO Agent 可以向客户端计算机上的 SSO Client 或 Event Log Monitor 查询正确的用户凭据,并向 XTM 设备提供这些用户凭据。
在客户端计算机上安装 SSO Client 软件时,SSO Client 会收到来自 SSO Agent 的调用,并返回关于当前登录到计算机的用户的准确信息。 SSO Agent 不需要直接联系域控制器以获取用户的 Active Directory 凭据,因为当它联系 SSO Client 时,会收到关于目前登录到计算机的用户以及该用户属于哪个 Active Directory 组的正确信息。
如果不想在每台客户端计算机上安装 SSO Client,您可以在网络中的每个域中的一台计算机上安装 Event Log Monitor,并配置 SSO Agent 以从 Event Log Monitor 获取用户登录信息。 这种方式称为无客户端 SSO。 通过无客户端 SSO,Event Log Monitor 从域控制器收集已经登录到域的用户的登录信息。 然后存储每个用户的用户凭据和用户组信息。
SSO Agent 联系 Event Log Monitor 联系以获取用户凭据时,Event Log Monitor 会通过 TCP 端口 445 联系客户端计算机,以获取用户登录凭据、检索域控制器中存储的用户组成员资格信息,以及向 SSO Agent 提供此信息。 Event Log Monitor 继续每隔五秒轮询客户端计算机,以监视登录和注销事件,以及连接中止问题。 系统会在安装 Event Log Monitor 的计算机上的 WatchGuard > 认证网关目录的 eventlogmonitor.log 文件中记录任何连接错误。
如果有一个用于 SSO 的域,可以在安装 SSO Agent 的域控制器计算机上安装 Event Log Monitor。 如果有多个域,则必须在每个域中的一台计算机上安装 Event Log Monitor,但只需在网络中的一个域控制器上安装 SSO Agent。 Event Log Monitor 不需要安装在域控制器计算机上,它可以安装在域中的任何计算机上。 Event Log Monitor 必须作为域管理员组中的用户帐户运行,才能获取用户凭据。
有关如何配置 SSO Agent 以使用 Event Log Monitor 的详细信息,请参阅配置 SSO 代理。
要使 SSO 运行,必须安装 SSO Agent 软件。 SSO Client 软件为可选,并安装在每台客户端计算机上。 Event Log Monitor 也是可选的,并且安装在每个域中的一台计算机上。 已经安装 SSO Client 软件或 Event Log Monitor 软件后,并且 SSO Agent 联系客户端计算机以获取用户凭据时,SSO Client 或 Event Log Monitor 将向 SSO Agent 发送正确的用户凭据。 当您配置 SSO Agent 的设置时,可以指定 SSO Agent 先查询 SSO Client 还是 Event Log Monitor。
如果仅安装 SSO Agent 并且不使用 SSO Client 或 Event Log Monitor,则 SSO Agent 查询客户端计算机时将得到多个答案。 如果多个用户登录到同一计算机,或者计算机上发生服务或批次登录时可能发生这种情况,这可能导致对客户使用错误的登录信息。 我们建议将 SSO Agent 与 SSO Client 或 Event Log Monitor 搭配使用,不要单独使用 SSO Agent。 如果多个用户登录到同一台计算机,则建议您在每台客户端计算机上安装 SSO Client 软件,或使用 Event Log Monitor。
如果 SSO Client 和 Event Log Monitor 不可用,为了获取用户凭据,SSO Agent 通过 TCP 端口 445 向客户端计算机发起 NetWkstaUserEnum 调用。 然后使用获得的信息认证用户,以实现单一登录。 SSO Agent 仅使用从计算机获得的第一个答案。 它将用户作为登录用户报告给 XTM 设备。 XTM 设备根据所有该用户和/或用户组的已定义策略一次性地检查用户信息。 默认情况下,SSO Agent 将这些数据保存在缓存中约 10 分钟,因此不必对每次连接都生成查询。
第一个图表显示的是带有单个域的网络。 SSO Agent 和 Event Log Monitor 安装在域控制器上,而 SSO Client 安装在客户端计算机上。 通过此配置,您可以指定 SSO Agent 首先联系 SSO Client 还是 Event Log Monitor。 例如,如果将 SSO Agent 配置为先联系 SSO Client,而 SSO Client 不可用,则 SSO Agent 将联系 Event Log Monitor 以获取用户凭据和组信息。 也可以在同一域的另一台计算机上安装 Event Log Monitor,前提是 Event Log Monitor 作为域管理员组中的用户帐户运行。
第二个图表显示的是带有两个域的网络配置 SSO Agent 只安装在网络中的一个域控制器上,SSO Client 安装在每一台客户端计算机上,而 Event Log Monitor 安装在网络中每个域中的一台计算机上。 通过此配置,您可以指定 SSO Agent 首先联系 SSO Client 还是 Event Log Monitor。 如果 SSO Client 不可用,则 SSO Agent 将联系与客户端计算机位于同一个域中的 Event Log Monitor,以获取用户凭据和组信息。
在您的网络环境中,如果多个用户使用同一台计算机,我们建议在每台客户端计算机上安装 SSO Client 软件,或者在每个域中安装 Event Log Monitor。 由于在不使用 SSO Client 或 Event Log Monitor 时存在访问控制限制,我们建议在没有 SSO Client 或 Event Log Monitor 的情况下不使用 SSO。 例如,对于安装在已经部署为用户使用域帐户凭据登录的客户端计算机(例如集中管理的防病毒客户端)上的服务,XTM 设备将根据首个登录用户(以及该用户所在的组)的定义赋予所有用户访问权限,而不是基于交互式登录的单个用户的凭据。 此外,所有由用户活动生成的日志消息都将显示服务帐户的用户名称,而不是单个用户。
如果没有安装 SSO Client 或 Event Log Monitor,我们建议在用户使用服务登录或批量登录计算机的环境中,不要使用 SSO。 当多个用户关联到一个 IP 地址时,网络许可可能无法正常运行。 这样可能会造成安全风险。
如果配置多个 Active Directory 域,您可以选择使用 SSO Client 或 Event Log Monitor。 有关如何在多个 Active Directory 域中配置 SSO Client 的详细信息,请参阅配置 Active Directory Authentication 和安装 WatchGuard 单一登录 (SSO) 客户端。
如果启用了单一登录,您还可以使用防火墙身份验证来登录到防火墙身份验证页面并使用不同的用户凭据进行认证。 有关详细信息,请参阅防火墙认证。
可以单独为 Terminal Services Agent 配置单一登录 (SSO)。 有关 Terminal Services Agent 的详细信息,请参阅安装和配置 Terminal Services Agent。
SSO 不支持远程桌面会话或终端会话。
在为网络配置 SSO 之前,请验证您的网络配置满足以下前提条件:
要使用 SSO,必须安装 SSO Agent 软件。 我们建议同时使用 Event Log Monitor 或 SSO Client。 尽管可以只通过 SSO Agent 使用 SSO,但配合使用 SSO Client 或 Event Log Monitor 可以增强安全性和访问控制。
要设置 SSO,请遵循以下步骤: