Zywall USG et User Awareness avec ZyXEL OTP (One Time Password) L objectif de cet article est de régler l accès à Internet en fonction de l utilisateur. Un utilisateur qui souhaite accéder à Internet par le biais d un navigateur (http) doit d abord s authentifier auprès du ZyWALL USG. Cet exemple se limite à l accès à Internet. Le trafic mail continue de fonctionner sans authentification. Pour l authentification de l utilisateur, le serveur d authentification Radius OTP de ZyXEL est utilisé. Configuration du serveur OTP ZyXEL Après l installation du serveur OTP ZyXEL, vous avez accès aux pages d administration avec le lien http://localhost:8080/asas : Admin + clé ESN Master Créer une entrée NAS (dans ce cas, l IP de l USG) : August 2008 / ATA / Page 1 de 7
Dans le menu Add/Edit Goups, créer le groupe radius et autoriser toutes les ressources (Allowed) : Dans le menu Add User, créer un utilisateur ssl-user : Ajouter le groupe radius aux groupes choisis (Selected) et libérer la ressource USG (Allowed), puis cliquer sur Update User : August 2008 / ATA / Page 2 de 7
Avec Assign, allouer une clé (Key, par ex. 73100718) à l utilisateur ssl-user : Dans le menu Search A-Keys, éditer la clé de l utilisateur ssl-user : Déterminer le PIN OTP (correspond au mot de passe sur le login de l USG, 4 à 24 caractères alphanumériques) : Pour prendre en compte les paramètres, vous devez redémarrer le serveur Radius Authenex : August 2008 / ATA / Page 3 de 7
Configuration de l USG ZyXEL Dans Object > AAA Server > RADIUS sous Host, fixer l IP (192.168.1.2) du serveur OTP ZyXEL et l Authentication Port sur 1812. Saisir la Key (mot de passe pour la communication avec le serveur Authenex) et fixer le Timeout sur 99. Dans Object > Authentication Method > Radius, éditer la règle default et ajouter avec le symbole [+] en deuxième position le groupe Radius 'group radius'. Les paramètres standards des utilisateurs sont définis dans le menu Object > User/Group > Setting. Pour éviter qu un utilisateur ne puisse s authentifier plusieurs fois auprès de l USG, nous limitons le nombre maximum d enregistrements simultanés à 1. August 2008 / ATA / Page 4 de 7
Après avoir enregistré la configuration, vous pouvez créer une nouvelle règle d utilisateur en cliquant sur le symbole plus : Voici comment créer une nouvelle police d utilisateur (User Policy) avec laquelle l authentification est forcée à partir du LAN : August 2008 / ATA / Page 5 de 7
La configuration de l USG est maintenant terminée. Désormais, un utilisateur qui se trouve dans la zone LAN doit s authentifier lors du premier accès au web. Lors de l ouverture de son navigateur web, la fenêtre de login de l USG apparaît. La condition est que le ZyWALL USG soit la passerelle standard (standard gateway) du PC. Saisissez les données d utilisateur selon votre configuration et cliquez sur Login : User Name: Password: One-Time Password: Le nom d utilisateur défini dans le serveur Asas Le PIN défini dans le Token Le nombre actuellement visible dans le Token (6 chiffres) Lorsque l utilisateur s est enregistré avec succès, une fenêtre popup qui affiche combien de temps il lui reste jusqu à ce qu il ait à se réenregistrer apparaît. Cette fenêtre ne peut s afficher que si aucun antipopup n est activé. Surveillez bien les messages de votre navigateur web. August 2008 / ATA / Page 6 de 7
Pour lister les utilisateurs actuellement authentifiés, cliquez sur la page d état dans la liste des utilisateurs : Avec la fonction Force Logout, l administrateur de l USG peut séparer manuellement un utilisateur. August 2008 / ATA / Page 7 de 7