Для работы аутентификации через веб-браузер с использованием Kerberos или NTLM настройте Internet Explorer (остальные браузеры подхватят его настройки).
Настройка аутентификации через веб-браузер
1. В поиск введите Изменение параметров временных файлов Интернета.
2. В открывшемся окне перейдите на вкладку Безопасность.
3. Выберите Местная интрасеть -> Сайты.
4. Добавьте в открывшемся окне ссылку на Ideco NGFW под тем именем, под которым ввели его в домен. Нужно указывать два URL: c http:// и с https://.
Пример ввода Ideco NGFW в домен example.ru под именем idecoics:
Применение настройки ко всем пользователям
1. Откройте Редактор локальной групповой политики. Это можно сделать, нажав клавиши Win + R и введя в появившемся окне команду gpedit.msc.
2. Перейдите по пути:
Англоязычная версия
Local Group Policy Editor -> User Configuration -> Administrative Templates -> Windows Components -> Internet Explorer -> Internet Control Panel -> Security Page -> Site to Zone Assignment List.
Русскоязычная версия
Политика "Локальный компьютер" -> Конфигурация пользователя -> Административные шаблоны -> Компоненты Windows -> Internet Explorer -> Панель управления браузером -> Вкладка «Безопасность» -> Список назначений зоны для веб-сайтов.
3. Введите назначение зоны для DNS-имени Ideco NGFW (в примере idecoics.example.ru) со значением 1 (интрасеть). Укажите два назначения для схем работы по http и https:
При входе на HTTPS-сайт необходимо разрешить браузеру доверять сертификату Ideco NGFW. Чтобы не делать это каждый раз, можно добавить корневой сертификат Ideco NGFW в доверенные корневые сертификаты устройства.
Настройка браузера Mozilla Firefox для веб-аутентификации по SSO или NTLM
Для использования браузера Mozilla Firefox на странице настроек (введите about:config в адресной строке) укажите следующие параметры:
network.automatic-ntlm-auth.trusted-uris и network.negotiate-auth.trusted-uris добавьте адрес локального интерфейса Ideco NGFW (например, idecoUTM.example.ru).
security.enterprise_roots.enabled в значении true позволит Firefox доверять системным сертификатом и авторизовать пользователей при переходе на HTTPS-сайты.
Настройка браузера Chromium для веб-аутентификации по SSO или NTLM
1. Откройте Редактор реестра.
2. Перейдите по пути HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Chromium (для компьютера) или HKEY_CURRENT_USER\SOFTWARE\Policies\Chromium (для конкретного пользователя).
3. Создайте два новых ключа:
Первый ключ должен иметь тип REG_SZ, имя AuthServerAllowlist и значение *.имя_домена.
Второй ключ также должен иметь тип REG_SZ, имя AuthNegotiateDelegateAllowlist и значение *.имя_домена.
Через Ideco Client - подходит для пользователей терминальных серверов (с использованием Remote Desktop IP Virtualization на терминальном сервере).
Авторизация по IP-адресу - подходит для пользователей с фиксированным IP-адресом. IP-адреса на NGFW необходимо прописать вручную каждому пользователю.
Авторизация по VPN - подходит для пользователей удаленных сетей.
Настройка аутентификации пользователей при прямых подключениях к прокси-серверу
Настройка прозрачной аутентификации пользователей при прямых подключениях к прокси-серверу аналогична настройке прозрачной SSO-аутентификации.
Единственная особенность - укажите в качестве адреса прокси-сервера DNS-имя Ideco NGFW.
При прямых подключениях к прокси не указывайте в качестве шлюза IP-адрес Ideco NGFW.
Настройка браузера Mozilla Firefox для аутентификации по NTLM при прямом подключении к прокси-северу
Для аутентификации компьютеров, которые не находятся в домене, под доменным пользовательским аккаунтом на странице настроек браузера Mozilla Firefox (введите about:config в адресной строке) укажите следующие параметры:
Не указывайте в параметрах значение true для компьютеров, входящих в домен, т. к. в таком случае будет использоваться устаревший метод авторизации по NTLM.
Возможные проблемы
Если в Internet Explorer появляется окно с текстом Для получения доступа требуется аутентификация и аутентификация происходит только при ручном переходе по ссылке, установите параметр Активные сценарии в Internet Explorer в значение Включить:
Доменному пользователю должно быть разрешено аутентифицироваться на Ideco NGFW. На контроллере домена зайдите в свойства выбранных пользователей на вкладку Учетная запись -> Вход на..., выберите пункт только на указанные компьютеры и пропишите имя рабочей станции для входа в систему.
Пример такой настройки представлен на скриншоте ниже: