Guten Morgen zusammen, wir versuchen die AD User mit unserer Sophos XGS zu syncronisieren. Ziel ist es, die User die sich am TS anmelden auch auf der FW zu sehen, damit wir die Aktivitäten überwachen können. Was wir gemacht haben: https://docs.sophos.com/central/customer/help/de-de/PeopleAndDevices/DirectoryService/SetUpSynchronizationWithActiveDirectory/index.html (Erfolgreich) Die Kerberos authentication initialized successfully with ... (Erfolgreich) NTLM authentication channel established successfully with ... (Erfolgreich) AD Zertifikats Authentifizierung als Rolle installiert AD Host ist angelegt (Funktioniert nur im Klartext, warum auch immer!?) TS Host angelegt FW Rules In & Out angelegt AD SSO in den Zonen aktiviert Leider können wir keine am TS angemeldeten User in der FW sehen. Müssen wir dafür extra die Webserver Protection Lizenz erwerben, oder geht es auch auf einem anderen Weg? Ich hoffe ihr könnt uns helfen. Wünsche euch einen schönen Tag

Du hast zwei Möglichkeiten, Intercept X for Server (SATC) und AD SSO über Kerberos. Ohne Intercept X: https://docs.sophos.com/nsg/sophos-firewall/20.0/Help/en-us/webhelp/onlinehelp/AdministratorHelp/Authentication/HowToArticles/AuthenticationConfigurePerConnectionAuth/index.html

Windows Terminal Server User Syncronisation

ChrisV 1 month ago

Guten Morgen zusammen,

wir versuchen die AD User mit unserer Sophos XGS zu syncronisieren.

Ziel ist es, die User die sich am TS anmelden auch auf der FW zu sehen, damit wir die Aktivitäten überwachen können.

Was wir gemacht haben:

https://docs.sophos.com/central/customer/help/de-de/PeopleAndDevices/DirectoryService/SetUpSynchronizationWithActiveDirectory/index.html (Erfolgreich)
Die Kerberos authentication initialized successfully with ... (Erfolgreich)
NTLM authentication channel established successfully with ... (Erfolgreich)
AD Zertifikats Authentifizierung als Rolle installiert
AD Host ist angelegt (Funktioniert nur im Klartext, warum auch immer!?)
TS Host angelegt
FW Rules In & Out angelegt
AD SSO in den Zonen aktiviert

Leider können wir keine am TS angemeldeten User in der FW sehen. Müssen wir dafür extra die Webserver Protection Lizenz erwerben, oder geht es auch auf einem anderen Weg?

Ich hoffe ihr könnt uns helfen.

Wünsche euch einen schönen Tag

Added TAGs
[edited by: Raphael Alganes at 12:42 PM (GMT -7) on 21 Jun 2024]

Top Replies

LuCar Toni 1 month ago +3 verified

Du hast zwei Möglichkeiten, Intercept X for Server (SATC) und AD SSO über Kerberos. Ohne Intercept X: https://docs.sophos.com/nsg/sophos-firewall/20.0/Help/en-us/webhelp/onlinehelp/AdministratorHelp…

Parents

+1 LuCar Toni 1 month ago

Du hast zwei Möglichkeiten, Intercept X for Server (SATC) und AD SSO über Kerberos.

Ohne Intercept X: https://docs.sophos.com/nsg/sophos-firewall/20.0/Help/en-us/webhelp/onlinehelp/AdministratorHelp/Authentication/HowToArticles/AuthenticationConfigurePerConnectionAuth/index.html

__________________________________________________________________________________________________________________
Cancel
Vote Up +3 Vote Down

Sign in to reply

Verify Answer

Reject Answer

Cancel
0 ChrisV 1 month ago in reply to LuCar Toni

Ich habe es ohne Intercept X for Server nach der Anleitung von LuCar Toni gemacht, hat soweit auch funktioniert.

Leider sehe ich keine Live Verbindungen der User, bzw. wenn sich die User über das User Portal angemeldet haben, dann waren diese auch in den Benutzer der Sophos hinterlegt. Aber Aktivitäten konnte ich keine nachverfolgen!?

Muss ich da noch was beachten?
Cancel
Vote Up 0 Vote Down

Sign in to reply

Verify Answer

Cancel
0 Patrick81 1 month ago in reply to ChrisV

Eigenlich nicht, ich kann es dir auch nur aus STAS Sicht berichten, da sieht man es defitive. Vielleicht sieht es bei der Intercept X nur noch in Sophos Central?

PS: Das sind alles STAS Benutzer bis auf der vorletzte, das ist der Benutzer der das LDAP abfragt von Sophos nach DC.

LG Patrick
Cancel
Vote Up 0 Vote Down

Sign in to reply

Verify Answer

Cancel
0 Patrick81 1 month ago in reply to Patrick81

Ich kann dir leider keine PM schicken . Also hier nochmal.

Hi Chris, sorry wenn ich jetzt antworte. Ich bin grade in meinem Jahres Urlaub

Ja den STAS Client habe ich auf dem AD Server installiert, wenn du 2 DC's hast mache es ruhig als Backup auch auf beide drauf.

In den Firewall Rules, kannst du den Haken anmachen, "Übereinstimmung mit bekannten Benutzern" dort fügst du dann die Gruppe oder oder die Benutzer selbst hinzu. Schau nur das du keine Firewall Rule über der Rule hast die die Gruppe oder Benutzer Rule aushebelt, da ja immer von oben nach unten gefragt wird.

LG

Patrick
Cancel
Vote Up 0 Vote Down

Sign in to reply

Verify Answer

Cancel

Reply

0 Patrick81 1 month ago in reply to Patrick81

Ich kann dir leider keine PM schicken . Also hier nochmal.

Hi Chris, sorry wenn ich jetzt antworte. Ich bin grade in meinem Jahres Urlaub

Ja den STAS Client habe ich auf dem AD Server installiert, wenn du 2 DC's hast mache es ruhig als Backup auch auf beide drauf.

In den Firewall Rules, kannst du den Haken anmachen, "Übereinstimmung mit bekannten Benutzern" dort fügst du dann die Gruppe oder oder die Benutzer selbst hinzu. Schau nur das du keine Firewall Rule über der Rule hast die die Gruppe oder Benutzer Rule aushebelt, da ja immer von oben nach unten gefragt wird.

LG

Patrick
Cancel
Vote Up 0 Vote Down

Sign in to reply

Verify Answer

Cancel

Children

No Data