This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

How to sync Active Directory Users

Hello,

for example, I want to have user JOHN be able to log in to the WebInterface. Additionally he should be able to use SSL VPN.

The authentication server is already added under the "Authentication Servers" section and authentications works. When I test the authentification with user JOHN, I get a "Authentication test passed."
Additionally the ASG is joined to the domain.

Now, when I want to add user JOHN to the "Allowed Administrators" or to the SSL VPN Users list, I only get a list with the local users and the group "Active Directory Users"

So how can I choose the AD users or groups here?


Thanks in advance


This thread was automatically locked due to age.
Parents
  • I worked on a client's UTM earlier this week.  They have Security Groups in AD including "SuperAdmins," "VPN Users," "Open Web Access," "Restricted Web Access," "No Web Access" and "HR Web Access."  They also have corresponding Backend Groups in the UTM as GuyFawkes described.

    The best way to sync users is to configure 'Prefetch directory users" on the 'Advanced' tab of 'Authentication Servers' with the 'Backend Group' for "VPN Users."  Rather than put the individual, synced users into any 'Allowed Users/Groups' box, just enter the appropriate Backend Group.

    You don't want to sync all of the users though - it's what I call Rule #6:

    There are only three reasons to sync users from AD to the ASG/UTM:

    • The user should be able to log on to a Remote Access VPN that uses certificates to authenticate the user.
    • Email Protection is enabled and the user should receive Quarantine Reports and be able to manage personal black/whitelists and/or use Email Encryption/Signing.
    • You want to do Reporting by Department for Web Protection (and I consider it a bug to require this when doing AD-SSO).

    There's no other reason to sync users to WebAdmin - certainly not with AD-SSO.


    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Reply
  • I worked on a client's UTM earlier this week.  They have Security Groups in AD including "SuperAdmins," "VPN Users," "Open Web Access," "Restricted Web Access," "No Web Access" and "HR Web Access."  They also have corresponding Backend Groups in the UTM as GuyFawkes described.

    The best way to sync users is to configure 'Prefetch directory users" on the 'Advanced' tab of 'Authentication Servers' with the 'Backend Group' for "VPN Users."  Rather than put the individual, synced users into any 'Allowed Users/Groups' box, just enter the appropriate Backend Group.

    You don't want to sync all of the users though - it's what I call Rule #6:

    There are only three reasons to sync users from AD to the ASG/UTM:

    • The user should be able to log on to a Remote Access VPN that uses certificates to authenticate the user.
    • Email Protection is enabled and the user should receive Quarantine Reports and be able to manage personal black/whitelists and/or use Email Encryption/Signing.
    • You want to do Reporting by Department for Web Protection (and I consider it a bug to require this when doing AD-SSO).

    There's no other reason to sync users to WebAdmin - certainly not with AD-SSO.


    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Children
No Data