Аутентификация пользователей AD/Samba DC
Last updated
Last updated
Для пользователей, импортированных из Aсtive Directory, доступны все типы авторизации.
Авторизацию через журнал безопасности Active Directory рекомендуется использовать совместно с SSO-авторизацией.
Для пользователей, импортированных из SambaDC, доступны все типы авторизации, кроме авторизации через журнал безопасности.
Чтобы пользователи SambaDC могли использовать VPN-подключение, необходимо включить NTLM-авторизацию. Для этого отредактируйте файл с помощью команды nano /etc/samba/smb.conf
, добавив в секцию [global]
строку ntlm auth = yes
.
Если у домена, в который введен NGFW, настроено доверие с другим доменом, то пользователи доверенного домена смогут авторизоваться на NGFW при выполнении условий:
Для аутентификации пользователей домена используется SSO-аутентификация;
Пользователь доверенного домена должен быть в локальной группе AD на контроллере домена, и эта группа должна быть импортирована на NGFW.
После авторизации пользователи доверенного домена будут добавлены в группу AD Пользователи из доверенных доменов в дереве пользователей NGFW.
Для включения SSO-аутентификации и Авторизации через журнал безопасности Active Directory перейдите на вкладку Пользователи -> Авторизация -> Основное и заполните поля:
Для корректной работы SSO-аутентификации используйте Доменное имя Ideco NGFW длиной не более 15 символов.
Включите настройку Веб-аутентификация и выберите SSO-аутентификация через Active Directory и ALD Pro.
Включите настройку Авторизации через журнал безопасности Active Directory.
Установите тайм-аут разавторизации пользователей. Значение по умолчанию - 15 минут. Диапазон доступных значений - от 10 минут до 1 дня.
После внесенных изменений нажмите кнопку Сохранить.
После заполнения поля Доменное имя Ideco NGFW и сохранения настроек будет выдан Let’s Encrypt сертификат, пользователь будет перенаправляться на окно авторизации, минуя страницу исключения безопасности:
Если сертификат для такого домена уже загружен в разделе Сертификаты, то будет использоваться загруженный сертификат. Новый сертификат выдаваться не будет.
При авторизации через журнал безопасности контроллера домена AD пользователи будут аутентифицированы при попытке выхода в интернет. Автоматической аутентификации без прохождения трафика через NGFW не происходит, т. к. используется конкурентная политика аутентификации.
Особенности работы авторизации через журнал безопасности Active Directory:
При включении (перезагрузке) компьютера в домене AD происходит автоматическая аутентификация под последним аутентифицированным пользователем.
При смене пользователя компьютера в домене AD служба аутентификации ideco-auth-backend
не будет аутентифицировать нового пользователя. Для аутентификации пользователя перезагрузите службу ideco-auth-backend
.
Используйте Ideco Client совместно с SSO-аутентификацией на Ideco NGFW.
Для работы авторизации через журнал безопасности выполните настройку контроллера домена:
1. В настройках брандмауэра Windows на всех контроллерах домена разрешите Удаленное управление журналом событий (Remote Event Log Management):
2. Добавьте Ideco NGFW в группу безопасности Читатели журнала событий (Event Log Readers). Чтобы это сделать:
Зайдите в Диспетчер серверов, кликните на AD DC, правой кнопкой мыши нажмите на строку с нужным сервером и в выпадающем списке выберите Пользователи и компьютеры Active Directory:
Откройте Свойства компьютера Ideco NGFW, введенного в домен (на скриншоте - idecongfw). Перейдите на вкладку Член групп и нажмите на кнопку Добавить. В появившемся окне нажмите на кнопку Дополнительно и добавьте Читатели журнала событий (Event Log Readers) через кнопку Поиск:
3. Перезапустите службу Авторизация через журнал безопасности Active Directory на Ideco NGFW. Для этого отключите эту опцию, а затем снова включите.
Для обновления политик контроллера домена, в терминале выполните команду gpupdate /force
.
Если авторизация пользователей при входе в систему не происходит, проверьте в журнале безопасности наличие событий 4768, 4769, 4624. Чтобы просмотреть журнал, воспользуйтесь встроенным приложением Просмотр событий (Event Viewer). Находится в меню Пуск -> Просмотр событий.
Для работы аутентификации через веб-браузер с использованием Kerberos или NTLM настройте Internet Explorer (остальные браузеры подхватят его настройки).
Обязательно используйте настройки веб-аутентификации, т. к. в некоторых случаях будет необходима аутентификация пользователей через браузер (даже при авторизации через журнал безопасности).
Причины:
Логи NTLM обычно содержат только имя пользователя, IP-адрес и время входа и не содержат всей информации, необходимой для полноценной авторизации: группы безопасности, права доступа и другие атрибуты пользователя;
Любые проблемы с журналом, такие как повреждение, потеря данных или задержки в записи, могут привести к проблемам с авторизацией;
Авторизация только на основе логов может быть менее безопасной, так как логи могут быть подделаны или изменены злоумышленниками;
Логи могут быть записаны с задержкой, и трудно гарантировать, что все данные актуальны и согласованы в любой момент времени;
Авторизация на основе логов может потребовать сложной логики для обработки и анализа логов, что может увеличить вероятность ошибок и затруднить поддержку;
Использование только логов может не обеспечить полную интеграцию с Active Directory и привести к ограниченным возможностям управления и настройки прав доступа.
1. В поиск введите Изменение параметров временных файлов Интернета.
2. В открывшемся окне перейдите на вкладку Безопасность.
3. Выберите Местная интрасеть -> Сайты.
4. Добавьте в открывшемся окне ссылку на Ideco NGFW под тем именем, под которым ввели его в домен. Нужно указывать два URL: c http://
и с https://
.
Пример ввода Ideco NGFW в домен example.ru
под именем idecoics
:
1. Откройте Редактор локальной групповой политики. Это можно сделать, нажав клавиши Win + R и введя в появившемся окне команду gpedit.msc.
2. Перейдите по пути:
3. Введите назначение зоны для DNS-имени Ideco NGFW (в примере idecoics.example.ru) со значением 1 (интрасеть). Укажите два назначения для схем работы по http и https:
При входе на HTTPS-сайт необходимо разрешить браузеру доверять сертификату Ideco NGFW. Чтобы не делать это каждый раз, можно добавить корневой сертификат Ideco NGFW в доверенные корневые сертификаты устройства.
Способы аутентификации импортированных пользователей:
Через Ideco Agent - подходит для аутентификации пользователей терминальных серверов (с использованием Remote Desktop IP Virtualization на терминальном сервере);
Авторизация по IP-адресу - подходит для пользователей с фиксированным IP-адресом. IP-адреса на NGFW необходимо прописать вручную каждому пользователю;
Авторизация по VPN - подходит для аутентификации пользователей удаленных сетей.
Настройка прозрачной аутентификации пользователей при прямых подключениях к прокси-серверу аналогична настройке прозрачной SSO-аутентификации. Единственная особенность - указание в качестве адреса прокси-сервера DNS-имени Ideco NGFW.
При прямых подключениях к прокси не указывайте в качестве шлюза IP-адрес Ideco NGFW.