TSA: Как работает агент служб терминалов (TSA) SonicWall?

TSA: Как работает агент служб терминалов (TSA) SonicWall?

05/15/2019   +1102   7644 05/15/2019 +1102 7644

ОПИСАНИЕ:
TSA: Как работает агент служб терминалов (TSA) SonicWall?

РАЗРЕШАЮЩАЯ СПОСОБНОСТЬ:

Платформы и поддерживаемые стандарты

SonicWall TSA поддерживается в SonicOS Enhanced 5.6 и выше, работает на устройствах SonicWall серии NSA и TZ 210, а SonicWall TSA должен быть установлен на всех терминальных серверах в домене.

Предпосылки

Для запуска SonicWall TSA должны быть выполнены следующие требования:

UDP-порт 2259 (по умолчанию) должен быть открыт на всех терминальных серверах, на которых установлен TSA; межсетевой экран по умолчанию использует порт UDP 2259 для связи с SonicWall TSA; если вместо 2259 настроен пользовательский порт, то это требование применяется к пользовательскому порту

Windows Server с последним пакетом обновлений
Windows Terminal Services или Citrix, установленные в системах Windows Terminal Server.

Процесс аутентификации SonicWall TSA

Для пользователей, вошедших в систему с служб терминалов или с сервера Citrix, TSA SonicWall заменяет агента SSO в процессе аутентификации. Процесс отличается по нескольким причинам:

TSA работает на том же сервере, на котором зарегистрирован пользователь, и включает имя пользователя и домен вместе с IP-адресом сервера в первоначальное уведомление для устройства SonicWall UTM.

Пользователи идентифицируются по номеру пользователя, а также по IP-адресу (для пользователей, не относящихся к службам терминалов, на любом IP-адресе есть только один пользователь, поэтому номер пользователя не используется). В интерфейсе управления SonicOS отображается ненулевой номер пользователя в формате «xxxx user n», где xxxx - это IP-адрес сервера, а n - номер пользователя.

TSA отправляет уведомление о закрытии UTM, когда пользователь выходит из системы, поэтому опрос не происходит.

Вместо того, чтобы опрашиваться устройством SonicWall UTM, TSA сам контролирует сервер служб терминалов / Citrix на наличие событий выхода из системы и уведомляет устройство SonicWall UTM по мере их возникновения, завершая сеанс SSO.

Как работает агент служб терминалов SonicWall?

SonicWall TSA можно установить на любой компьютер с Windows Server, на котором установлены службы терминалов или Citrix. Сервер должен принадлежать домену Windows, который может взаимодействовать с устройством безопасности SonicWall напрямую, используя IP-адрес или путь, например VPN.

(1) Клиент входит в сеть через службы терминалов или сервер Citrix и в первый раз пытается получить доступ к Интернету или другим сетевым ресурсам.

(2) TSA на службах терминалов или сервере Citrix уведомляет SonicWall UTM об имени пользователя,
домен, идентификатор сеанса, IP-адрес подключения, порт и протокол. UTM отправляет ответ.

(3) SonicWall UTM запрашивает членство пользователя в группе на сервере LDAP или в локальной базе данных.

(4) SonicWall UTM проверяет группы на соответствие политикам брандмауэра, CFS и App FW и соответственно предоставляет доступ, назначает номер пользователя для пользователя на сервере терминалов и регистрирует пользователя.

(5) Пользователь закрывает интернет-соединение, и TSA уведомляет UTM о закрытии.

(6) Пользователь открывает дополнительные соединения, и шаги (2) и (5), но не (3) и (4), повторяются для каждого соединения.

(7) Когда пользователь выходит из сервера терминалов, TSA уведомляет SonicWall UTM о выходе из системы, и пользователь выходит из системы в UTM.

Установка и настройка SonicWall TSA

Для установки и настройки SonicWall TSA, пожалуйста, обратитесь KBID 7996

Дополнительная информация:

Поддержка нескольких TSA

Для поддержки больших установок с тысячами пользователей устройства SonicWall UTM можно настроить для работы с несколькими агентами служб терминалов (по одному на сервер терминалов). Количество поддерживаемых агентов зависит от модели, как показано в таблице 3.

Обратите внимание: для всех моделей SonicWall UTM поддерживается не более 32 IP-адресов на один терминальный сервер.

Шифрование сообщений TSA и использование идентификаторов сеансов:

SonicWall TSA использует общий ключ для шифрования сообщений между TSA и устройством SonicWall UTM, когда в сообщении содержатся имя пользователя и домен. Первое открытое уведомление для пользователя всегда шифруется, поскольку TSA включает имя пользователя и домен.

Примечание . Общий ключ создается в TSA, и ключ, введенный в устройство SonicWall UTM во время настройки SSO, должен точно соответствовать ключу TSA. TSA включает идентификатор сеанса пользователя во все уведомления, а не каждый раз включает имя пользователя и домен. Это эффективно, безопасно и позволяет TSA выполнять повторную синхронизацию с пользователями служб терминалов после перезапуска агента.

Соединения с локальными подсетями

TSA динамически изучает топологию сети на основе информации, возвращаемой с устройства, и, узнав об этом, он не будет отправлять на устройство уведомления о последующих подключениях пользователей, которые не проходят через устройство. Поскольку у TSA нет механизма, позволяющего «отучить» эти локальные места назначения, TSA следует перезапустить, если подсеть перемещается между интерфейсами на устройстве.

Пользовательский трафик не из домена с сервера терминалов

Устройство SonicWall UTM имеет параметр Разрешить ограниченный доступ для пользователей, не входящих в домен, для необязательного предоставления ограниченного доступа пользователям, не входящим в домен (пользователям, вошедшим в систему на своем локальном компьютере, а не в домен), и это работает для пользователей служб терминалов, как и для другие пользователи единого входа. Если ваша сеть включает в себя устройства, отличные от Windows, или компьютеры с Windows, на которых запущены персональные брандмауэры, установите флажок рядом с пользователем Probe для и выберите переключатель для NetAPI или WMI, в зависимости от того, какой из них настроен для агента единого входа. Это заставляет устройство SonicWall UTM проверять ответ на порт NetAPI / WMI, прежде чем запросить, чтобы агент SSO идентифицировал пользователя. Если ответ не получен, эти устройства сразу не смогут выполнить единый вход. Такие устройства не отвечают или могут блокировать сетевые сообщения Windows, используемые агентом единого входа для идентификации пользователя.
Непользовательский трафик с сервера терминалов

Непользовательские подключения открываются с сервера терминалов для обновлений Windows и антивирусных обновлений. TSA может идентифицировать соединение из вошедшей в систему службы как не пользовательское соединение и указывает это в уведомлении устройству. Для управления обработкой этих непользовательских подключений в конфигурации TSA на устройстве доступен флажок « Разрешить не пользовательскому трафику сервера терминалов обходить проверку подлинности пользователя в правилах доступа» . Когда выбрано, эти подключения разрешены. Если этот флажок не установлен, то службы рассматриваются как локальные пользователи, и им может быть предоставлен доступ путем выбора параметра Разрешить ограниченный доступ для пользователей, не входящих в домен, и создания учетных записей пользователей на устройстве с соответствующими именами служб.

TSA: Как работает агент служб терминалов (TSA) SonicWall?
Как работает агент служб терминалов SonicWall?