Аутентификация пользователей AD/Samba DC
В статье описана настройка аутентификации пользователей AD/Samba DC в Ideco NGFW.
Last updated
Was this helpful?
В статье описана настройка аутентификации пользователей AD/Samba DC в Ideco NGFW.
Last updated
Was this helpful?
Видеоинструкцию смотрите по ссылкам:
Перейдите на вкладку Пользователи -> Авторизация -> Основное и заполните поля:
Доменное имя Ideco NGFW - укажите доменное имя Ideco NGFW длиной не более 15 символов.
Веб-аутентификация - включите настройку и выберите SSO-аутентификация через Active Directory и ALD Pro для авторизации с использованием токенов Kerberos или NTLM.
Авторизация через журнал безопасности Active Directory - включите, чтобы Ideco NGFW отслеживал события успешного входа в журнале безопасности AD и авторизовывал пользователя по ним, если трафик идет с того же IP-адреса.
После сохранения настроек будет выдан Let’s Encrypt сертификат, пользователь будет перенаправляться на окно авторизации, минуя страницу исключения безопасности:
Для пользователей, импортированных из Aсtive Directory, доступны все типы авторизации.
Авторизацию через журнал безопасности Active Directory рекомендуется использовать совместно с SSO-аутентификацией. Авторизация только через журнал безопасности может не обеспечить полную интеграцию с Active Directory и ограничить возможности управления и настройки прав доступа.
Использование только Авторизации через журнал безопасности Active Directory ненадежно по причинам:
Логи журнала событий безопасности содержат только имя пользователя, IP-адрес и время входа. Журнал не содержит всей информации, необходимой для полноценной авторизации: группы безопасности, права доступа и другие атрибуты пользователя.
Любые проблемы с журналом, такие как повреждение, потеря данных или задержки в записи, могут привести к проблемам с авторизацией.
Авторизация через журнал безопасности менее безопасна, так как логи могут быть подделаны или изменены злоумышленниками.
Логи могут быть записаны с задержкой, и трудно гарантировать, что все данные актуальны и согласованы в любой момент времени.
Авторизация через журнал безопасности может потребовать сложной логики для обработки и анализа логов, что может увеличить вероятность ошибок и затруднить поддержку.
Если у домена, в который введен NGFW, настроено доверие с другим доменом, то пользователи доверенного домена смогут авторизоваться на NGFW при выполнении условий:
Для аутентификации пользователей домена используется SSO-аутентификация.
Пользователь доверенного домена должен быть в локальной группе AD на контроллере домена, и эта группа должна быть импортирована на NGFW.
После авторизации пользователи доверенного домена будут добавлены в группу AD Пользователи из доверенных доменов в дереве пользователей NGFW.
Для пользователей, импортированных из Samba, доступны все типы авторизации, кроме авторизации через журнал безопасности.
Чтобы пользователи SambaDC могли использовать VPN-подключение, необходимо включить NTLM-авторизацию. Для этого отредактируйте файл с помощью команды nano /etc/samba/smb.conf, добавив в секцию [global] строку ntlm auth = yes.
Разавторизация пользователей - установите тайм-аут . Значение по умолчанию - 15 минут. Диапазон доступных значений - от 10 минут до 1 дня.
Если сертификат для такого домена уже загружен в разделе , то будет использоваться загруженный сертификат. Новый сертификат выдаваться не будет.
