Guten Morgen zusammen, wir versuchen die AD User mit unserer Sophos XGS zu syncronisieren. Ziel ist es, die User die sich am TS anmelden auch auf der FW zu sehen, damit wir die Aktivitäten überwachen können. Was wir gemacht haben: https://docs.sophos.com/central/customer/help/de-de/PeopleAndDevices/DirectoryService/SetUpSynchronizationWithActiveDirectory/index.html (Erfolgreich) Die Kerberos authentication initialized successfully with ... (Erfolgreich) NTLM authentication channel established successfully with ... (Erfolgreich) AD Zertifikats Authentifizierung als Rolle installiert AD Host ist angelegt (Funktioniert nur im Klartext, warum auch immer!?) TS Host angelegt FW Rules In & Out angelegt AD SSO in den Zonen aktiviert Leider können wir keine am TS angemeldeten User in der FW sehen. Müssen wir dafür extra die Webserver Protection Lizenz erwerben, oder geht es auch auf einem anderen Weg? Ich hoffe ihr könnt uns helfen. Wünsche euch einen schönen Tag

Du hast zwei Möglichkeiten, Intercept X for Server (SATC) und AD SSO über Kerberos. Ohne Intercept X: https://docs.sophos.com/nsg/sophos-firewall/20.0/Help/en-us/webhelp/onlinehelp/AdministratorHelp/Authentication/HowToArticles/AuthenticationConfigurePerConnectionAuth/index.html

This discussion has been locked.

You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Windows Terminal Server User Syncronisation

ChrisV 5 months ago

Guten Morgen zusammen,

wir versuchen die AD User mit unserer Sophos XGS zu syncronisieren.

Ziel ist es, die User die sich am TS anmelden auch auf der FW zu sehen, damit wir die Aktivitäten überwachen können.

Was wir gemacht haben:

https://docs.sophos.com/central/customer/help/de-de/PeopleAndDevices/DirectoryService/SetUpSynchronizationWithActiveDirectory/index.html (Erfolgreich)
Die Kerberos authentication initialized successfully with ... (Erfolgreich)
NTLM authentication channel established successfully with ... (Erfolgreich)
AD Zertifikats Authentifizierung als Rolle installiert
AD Host ist angelegt (Funktioniert nur im Klartext, warum auch immer!?)
TS Host angelegt
FW Rules In & Out angelegt
AD SSO in den Zonen aktiviert

Leider können wir keine am TS angemeldeten User in der FW sehen. Müssen wir dafür extra die Webserver Protection Lizenz erwerben, oder geht es auch auf einem anderen Weg?

Ich hoffe ihr könnt uns helfen.

Wünsche euch einen schönen Tag

This thread was automatically locked due to age.

Top Replies

LuCar Toni 5 months ago +3 verified

Du hast zwei Möglichkeiten, Intercept X for Server (SATC) und AD SSO über Kerberos. Ohne Intercept X: https://docs.sophos.com/nsg/sophos-firewall/20.0/Help/en-us/webhelp/onlinehelp/AdministratorHelp…

Parents

+1 LuCar Toni 5 months ago

Du hast zwei Möglichkeiten, Intercept X for Server (SATC) und AD SSO über Kerberos.

Ohne Intercept X: https://docs.sophos.com/nsg/sophos-firewall/20.0/Help/en-us/webhelp/onlinehelp/AdministratorHelp/Authentication/HowToArticles/AuthenticationConfigurePerConnectionAuth/index.html

__________________________________________________________________________________________________________________
Cancel
Vote Up +3 Vote Down

Cancel

Reply

+1 LuCar Toni 5 months ago

Du hast zwei Möglichkeiten, Intercept X for Server (SATC) und AD SSO über Kerberos.

Ohne Intercept X: https://docs.sophos.com/nsg/sophos-firewall/20.0/Help/en-us/webhelp/onlinehelp/AdministratorHelp/Authentication/HowToArticles/AuthenticationConfigurePerConnectionAuth/index.html

__________________________________________________________________________________________________________________
Cancel
Vote Up +3 Vote Down

Cancel

Children

0 Sophos User5900 5 months ago in reply to LuCar Toni

Oh, vielen Dank! Da:

hätte und habe ich die Geschichte nie vermutet. Drei Worte mehr beim mouse over und (zumindest) ich wäre allein klar gekommen
Cancel
Vote Up +1 Vote Down

Cancel
0 ChrisV 4 months ago in reply to LuCar Toni

Vielen Dank für deine Antwort, ich werde es über eine Intercept X Lizenzierung lösen, da ich somit auch die Endpoints schützen kann. Bin auch über beide Lösungen gestolpert und dachte mir schon, dass es nur so geht ;)
Cancel
Vote Up 0 Vote Down

Cancel
0 Patrick81 4 months ago in reply to ChrisV

Hallo, nur zur Info..... Du kannst beim Terminalserver aus STAS verwenden, das klappt meiner Erfahrung nach etwas besser.

WICHTIG WICHTIG: Es MUSS beim Terminalserver "Virtuell IP" Aktiviert sein. Somit bekommt jeder Benutzer auf dem Terminalserver eine eigene IP, somit kann auch STAS die User Regeln verwenden. Bekommt nicht jeder Benutzer eine eigene IP klappt STAS nicht!!!! Weil nur dem letzten angemeldeten Benutzer die Regeln zugewiesen werden, alle anderen werden ausgeschlossen! Beim Server 2016 und 2022 ist Virtuel IP kein Problem, beim Server 2019 hab gab es Probleme, ist aber auch über REG Einträge zu beheben.

LG

Patrick

--------------------------------------------------------------------------------------------------------------------------------------

Wenn du dir sicher bist alles kontrolliert zu haben und es immer noch nicht klappt, prüfe alles nochmal!
Cancel
Vote Up +1 Vote Down

Cancel
0 ChrisV 4 months ago in reply to Patrick81

Danke dir!

Das werde ich mir auf jeden Fall mal anschauen.

VG
Cancel
Vote Up 0 Vote Down

Cancel
0 ChrisV 4 months ago in reply to LuCar Toni

Ich habe es ohne Intercept X for Server nach der Anleitung von LuCar Toni gemacht, hat soweit auch funktioniert.

Leider sehe ich keine Live Verbindungen der User, bzw. wenn sich die User über das User Portal angemeldet haben, dann waren diese auch in den Benutzer der Sophos hinterlegt. Aber Aktivitäten konnte ich keine nachverfolgen!?

Muss ich da noch was beachten?
Cancel
Vote Up 0 Vote Down

Cancel
0 Patrick81 4 months ago in reply to ChrisV

Eigenlich nicht, ich kann es dir auch nur aus STAS Sicht berichten, da sieht man es defitive. Vielleicht sieht es bei der Intercept X nur noch in Sophos Central?

PS: Das sind alles STAS Benutzer bis auf der vorletzte, das ist der Benutzer der das LDAP abfragt von Sophos nach DC.

LG Patrick

--------------------------------------------------------------------------------------------------------------------------------------

Wenn du dir sicher bist alles kontrolliert zu haben und es immer noch nicht klappt, prüfe alles nochmal!
Cancel
Vote Up 0 Vote Down

Cancel
0 Patrick81 4 months ago in reply to Patrick81

Ich kann dir leider keine PM schicken . Also hier nochmal.

Hi Chris, sorry wenn ich jetzt antworte. Ich bin grade in meinem Jahres Urlaub

Ja den STAS Client habe ich auf dem AD Server installiert, wenn du 2 DC's hast mache es ruhig als Backup auch auf beide drauf.

In den Firewall Rules, kannst du den Haken anmachen, "Übereinstimmung mit bekannten Benutzern" dort fügst du dann die Gruppe oder oder die Benutzer selbst hinzu. Schau nur das du keine Firewall Rule über der Rule hast die die Gruppe oder Benutzer Rule aushebelt, da ja immer von oben nach unten gefragt wird.

LG

Patrick

--------------------------------------------------------------------------------------------------------------------------------------

Wenn du dir sicher bist alles kontrolliert zu haben und es immer noch nicht klappt, prüfe alles nochmal!
Cancel
Vote Up 0 Vote Down

Cancel