บทความนี้อธิบายวิธีตั้งค่า Authentication Policy แบบครบวงจรบน Sangfor NGAF/NSF รวมถึง Authentication Method, SSO Options และ Security Settings
Authentication Policy คืออะไร
Authentication Policy กำหนดว่า User ต้อง Login อย่างไรก่อนเข้าถึง Internet — NGAF จะ Redirect User ไปยังหน้า Login Page ตาม Method ที่กำหนด Policy ถูกประมวลผลจากบนลงล่าง — Policy แรกที่ Match จะถูกใช้
ขั้นตอนการตั้งค่า
1. เปิดใช้งาน User Authentication
ไปที่ Policies > Authentication > User Authentication ติ๊ก Enable user authentication ที่ด้านบนของหน้า
2. เลือก Authentication Zone
เลือก Zone ที่ต้องการบังคับ Authentication (โดยทั่วไปเลือก LAN)
3. สร้าง Authentication Policy
กด Add แล้วกำหนด:
- Name: ชื่อ Policy (จำเป็น)
- IP/MAC Address: IP Address, IP Segment หรือ MAC Address ที่ต้องการ Match
- Authentication Method: เลือก 1 ใน 3 วิธี (ดูหัวข้อถัดไป)
Authentication Method 3 แบบ
1. None/SSO
ไม่แสดง Login Page — ระบบ Identify User จาก IP/MAC/Hostname:
- Take IP address as username
- Take MAC address as username
- Take host name as username
หากตั้ง SSO ใน Authentication Options ระบบจะใช้ AD Account Name แทน
2. SSO/Local or external password authentication
Browser จะ Redirect ไปยัง Login Page — ระบบจะตรวจสอบ Local User ก่อน หากเปิด Local Password ไว้ จากนั้นตรวจสอบ External Auth Server
3. SSO only
User ใน Address Range ของ Policy ต้องผ่าน SSO เท่านั้น — สามารถตั้ง Excluded Users สำหรับ User ที่ไม่ใช้ SSO ต้องใส่ Credential ด้วยตนเอง
New User Options
กำหนดวิธีจัดการ User ใหม่ที่ไม่ได้อยู่ในระบบ (ยกเว้น Local User):
- Added to specified local group: เพิ่มเข้ากลุ่มที่กำหนด
- Added as guest account: สร้าง Guest Account
- No authentication for new users: ไม่ต้อง Authentication
Other User Attributes
- Concurrent Logins on Multiple Terminals: Allow หรือ Do not allow
- Bind IP/MAC: Unidirectional Binding หรือ Bidirectional Binding
Authentication Options
ไปที่ Policies > Authentication > User Authentication > Authentication Options เพื่อตั้งค่าเพิ่มเติม:
- SSO Options: AD SSO, Proxy SSO, POP3 SSO, Web SSO, RADIUS (แต่ละ SSO มี Tab แยก)
- Auth Page Redirection: กำหนด URL Redirect
- Obtain MAC By SNMP: ดึง MAC Address ผ่าน Layer 3 Switch
-
Others:
- Auto-log out idle users (ค่าเริ่มต้น 120 นาที)
- DNS service available before auth
- Basic services (except HTTP/HTTPS) available before auth
- Lock users if auth attempts reach threshold (Max Attempts + Lockout Duration)
หมายเหตุ
- ต้องตั้ง External Auth Server ก่อนหากใช้ AD/LDAP/RADIUS ที่ Policies > Authentication > External Auth Server
- ใช้ Move Up/Move Down เพื่อจัดลำดับ Policy — วาง Specific Policy ไว้ด้านบน, General Policy ไว้ด้านล่าง
- อุปกรณ์ที่ไม่ต้อง Auth (เช่น Printer, IP Phone) ให้สร้าง Policy แบบ None/SSO ไว้ด้านบน
อัปเดตใน Firmware 8.0.107
อัปเดตใน 8.0.107: ยืนยันตัวตนผู้ใช้ผ่าน Security Groups
ตั้งแต่ Firmware 8.0.107 เป็นต้นไป Athena NGFW รองรับการ Sync Security Group จาก AD Domain มาใช้ในการ Authenticate ผู้ใช้ และผูกกับ Permission Control Policy ได้โดยตรง (เช่น Application Control, Network Security และ Bandwidth Management) — Security Group แยกอิสระจาก Business Policy ดังนั้นปรับสมาชิกได้โดยไม่กระทบ Policy ที่อ้างอิงอยู่
ขั้นตอนการตั้งค่า
- เพิ่ม External Authentication Server (AD) ที่ Policies > Authentication > User Authentication > External Authentication Server
- ไปที่ Policies > Authentication > User Management > Security Groups แล้วคลิก Add
- กรอก Name และเลือกแหล่งสมาชิก:
- Add from the local device — เลือก Local User / User Group (หากเลือก User Group ระบบจะเพิ่ม Subgroup และ User ทั้งหมดให้อัตโนมัติ)
- Add from remote servers — เลือก Group จาก AD Domain ที่ Sync ไว้ (ฟีเจอร์ใหม่ใน 8.0.107 — เมื่อ User Online ระบบจะเช็คว่า User สังกัด Group ไหนบน AD แล้วถ้า Match ก็เพิ่ม User เข้า Security Group นี้อัตโนมัติ)
- Add manually — กรอก Username เป็น Text สำหรับ User ที่ยังไม่มีใน Local
- คลิก OK เพื่อบันทึก
- นำ Security Group ไปผูกกับ Authentication Policy หรือ Application Control / Security Policy ที่ต้องการ
หมายเหตุ: ชื่อ Security Group เป็น case-sensitive แต่การ Filter ในตารางจะ case-insensitive
ข้อคิดเห็น
0 ข้อคิดเห็น
โปรด ลงชื่อเข้าใช้ เพื่อแสดงข้อคิดเห็น