Lug0720207 Luglio 20207 Luglio 20200Commentidi Ermanno Goletto

Sophos XG e gruppi primari in Active Directory

Pubblicato in Security

Come indicato nella KB 123161 Sophos Firewall: Group membership behavior with Active Directory quando un utente accede al Captive Portal al momento dell’autenticazione tramite l’account di Active Directory questo viene importato in Sophos Firewall e mappato al primo gruppo della sua lista di appartenenza.

Ciò significa che se un account in Active Directory appartiene a più gruppi e questi sono stati precedentemente importati in Sophos Firewall verrà assegnato al primo della lista con l’esclusione del gruppo primario perché, sempre stando alla KB 123161 di Sophos, Active Directory non fornisce informazioni sul gruppo primario.

“Once successfully authenticated, the user is imported in Sophos Firewall and mapped to Group B. This is because Microsoft Active Directory does not send information about user’s primary group (Group A), consequently, Group B is the next in the list defined within Sophos Firewall.”

A mio avviso però il fatto che Active Directory non fornisca informazioni circa il gruppo primario non è corretta infatti se utilizza la seguente query powershell è possibile ricavare il Primary Group:

Get-AdUser -Identity username -Properties PrimaryGroupID, PrimaryGroup

Con la seguente query PowerShell è invece possibile ricavare li gruppi a cui appartiene un utente incluso il Primary Group:

Get-ADPrincipalGroupMembership -Identity username

Mentre con la seguente query è possibile ricavare l’oggetto corrispondente al gruppo primario a cui appartiente l’utente:

Get-ADGroup -Identity (Get-AdUser -Identity username -Properties PrimaryGroup).PrimaryGroup

Ovviamente PowerShell è solo una dei vari metodi con cui possibile eseguire query in Active Directory, nella KB Microsoft 321360 How to use native ADSI components to find the primary group ad esempio viene illustrato come reperire informazioni sul Primary Group tramite Active Directory Services Interface (ADSI).

Concludendo sarebbe più utile inserire nel firewall Sophos la possibilità di eseguire il mapping dell’utente su tutti i gruppi importati a cui appartiene o al contrario prevedere come opzione la possibilità di considerare solo il gruppo primario.