SSO Agent Archive - BOC IT-Security GmbH

Tag Archives: SSO Agent

Single Sign-On (SSO) mit Event Log Monitor (ELM)-Authentifizierung funktioniert nach Windows-Update vom 8. Juni 2021 nicht mehr

9. Juli 2021 Ingo Flügel Comment

Am 8. Juni 2021 veröffentlichte Microsoft ein Update. Diese Update betrifft Anwendungen, die die Legacy-API für den Zugriff auf Ereignisprotokolle nutzen. Das Update härtet den Zugriff auf Event Tracing for Windows (ETW) und steht im Zusammenhang mit der Sicherheitslücke CVE-2021-31958.

Dazu gibt es einen >> Knowledge Base Artikel von WatchGuard.

Standardmäßig verwendet WatchGuard SSO mit ELM Legacy-API-Aufrufe, um Benutzerauthentifizierungsanforderungen zu verarbeiten.
Um Probleme mit der Benutzerauthentifizierung zu vermeiden, schlägt WatchGuard hier zwei mögliche Lösungen vor:

XTM: SSO Exceptions jetzt auch als Host Range und Network IP

2. November 2010 Bernd Och Comment

Bei einer WatchGuard Firebox oder XTM hat Single Sign On (SSO) in Verbindung mit Active Directory die Aufgabe, automatisch zu erkennen, welcher Windows-User an einem PC angemeldet ist und dies an die WatchGuard Firebox zu melden, damit Firewall-Regeln angewendet werden, die auf einer Gruppenmitgliedschaft oder einem Usernamen basieren. Wie beim händischen Ausfüllen der Authentication Page (Port 4100) lernt die WatchGuard mit Hilfe des SSO Agent (und des optionalen SSO Client) dabei, welcher User sich hinter einer bestimmten IP “verbirgt” und in welchen Active Directory Gruppen dieser User Mitglied ist.

Die automatische Erkennung per SSO macht jedoch nur Sinn bei Standalone-PCs, die Mitglied einer Windows-AD-Domäne sind – und an denen jeweils nur ein User gleichzeitig angemeldet ist. In der Regel ist es empfehlenswert, Maschinen, die kein AD-Domänenmitglied sind oder kein Windows-Betriebssystem haben (z.B. Apple Mac, Linux oder Windows Mobile Clients) sowie Windows-Server von der automatischen User-Erkennung per SSO auszuschließen.

Bislang konnte die Liste der so genannten “SSO Exceptions” nur relativ umständlich befüllt werden. Jede dementsprechende IP-Adresse musste einzeln eingetippt werden. Mit dem aktuellen WatchGuard System Manager (WSM) und Fireware XTM 11.3.2 lassen sich nun auch die von normalen Firewall-Regeln her bekannten Auswahlen Host Range, Network IP und Host Name (DNS lookup) verwenden, was das Befüllen der SSO Exception List in vielen Umgebungen sicher deutlich vereinfachen wird:

Falscher Download-Link zum SSO Agent 10.2.11

8. Oktober 2009 Bernd Och 1 Comment

Aus den Release Notes der Version 10.2.11 geht hervor, dass der SSO Client unverändert auf 10.2.9 bleibt (das optionale MSI-Paket für die Installation auf dem Desktop-PC) – dass es aber einen neuen SSO Agent 10.2.11 gibt (Authentication Gateway), der im Software Download Bereich auch so angeboten wird. Der Download-Link zeigt aber derzeit auf eine falsche Datei, nämlich den alten SSO Agent 10.2.9! Zumindest bei einem Kunden mit einer X Edge musste ich feststellen, dass nach dem Update auf Edge 10.2.11 die User Authentication gegen Active Directory mit dem (alten) SSO Agent nicht mehr funktioniert.

Version 10.2.8 im Download-Bereich

31. März 2009 Bernd Och 2 Comments

Folgende Änderungen im Installationsverhalten ist mir aufgefallen: Beim Aufruf des Installers fireware10_2_8.exe kommt nicht mehr die verwirrende Meldung “Do you want to completely remove the selected application and all of its features?”, sondern zu der schon existierenden Version 10.2.x wird zusätzlich die Fireware 10.2.8 installiert. Zur Vermeidung von Fehlern empfehle ich nun, als ersten Schritt über Systemsteuerung > Software die bisherige Version Fireware 10.2.x zu deinstallieren – und anschließend den Installer fireware10_2_8.exe aufzurufen.

Weiterhin stehen im Download-Bereich neue Versionen für den IPSec Mobile User VPN-Client, den SSL-VPN-Client sowie für den Single Sign On (SSO) Client und Agent (Gateway).

Neue Software-Versionen

14. November 2008 Bernd Och 6 Comments

Die Version 10.2.4 soll am Montag, 17.11.08, amerikanischer Zeit zum Download über die WatchGuard-Website bereitgestellt werden. Hier soll sich speziell die Funktion Single Sign On bei Verwendung von User Authentication in Verbindung mit Active Directory verbessern. Bislang hatte der SSO Agent auf dem Domänencontroller Schwierigkeiten mit PCs, an denen mehrere wechselnde Benutzer arbeiten oder Dienstkonten genutzt werden (z.B. für Backup- oder Antivirus-Software). Mit 10.2.4 soll ein zusätzlicher Software-Client bereitgestellt werden, der – auf den PCs installiert – die Erkennung des aktiven Benutzerkontos für den Agent vereinfacht.
Vor Weihnachten soll dann noch eine Version 10.2.5 erscheinen, bevor dann Ende Januar mit dem nächsten Major Release Fireware 11 zu rechnen ist.

Mein Warenkorb

WatchGuard Firewall / VPN

WatchGuard Tabletop Modelle

WatchGuard Rackmount Modelle

Virtuelle Appliances

Zubehör und weitere Services

Ältere WatchGuard Modelle

WatchGuard Access Points

Wi-Fi 6 WatchGuard Access Points

ältere WatchGuard Access Points

WatchGuard AuthPoint

Multifaktor-Authentifizierung

WatchGuard Endpoint Security & Panda

Einzelprodukte

Zusatzmodule

Bundles

Für Bestandskunden von Panda empfehlen wir weiterhin:

WatchGuard Schulungen

Unsere WatchGuard Administrator-Schulung

Individualschulungen vor Ort

WatchGuard Videos und Webinare (kostenfrei)

Nächste Schulungs-Termine:

Follow-Up Q&A-Session:

Weitere Termine:

WatchGuard Support

Support durch BOC IT-Security GmbH

Häufig nachgefragt...

Support durch WatchGuard (kostenfrei)

Hilfe zur Selbsthilfe (kostenfrei)

WatchGuard Informationen