Настройка клиентских машин
В статье описано как настроить клиентские машины для веб-аутентификации по SSO или NTLM.
Last updated
Was this helpful?
В статье описано как настроить клиентские машины для веб-аутентификации по SSO или NTLM.
Last updated
Was this helpful?
Для работы аутентификации через веб-браузер с использованием Kerberos или NTLM настройте Internet Explorer (остальные браузеры подхватят его настройки).
Обязательно используйте настройки веб-аутентификации, т. к. в некоторых случаях будет необходима аутентификация пользователей через браузер (даже при авторизации через журнал безопасности).
Причины:
Логи NTLM обычно содержат только имя пользователя, IP-адрес и время входа и не содержат всей информации, необходимой для полноценной авторизации: группы безопасности, права доступа и другие атрибуты пользователя;
Любые проблемы с журналом, такие как повреждение, потеря данных или задержки в записи, могут привести к проблемам с авторизацией;
Авторизация только на основе логов может быть менее безопасной, так как логи могут быть подделаны или изменены злоумышленниками;
Логи могут быть записаны с задержкой, и трудно гарантировать, что все данные актуальны и согласованы в любой момент времени;
Авторизация на основе логов может потребовать сложной логики для обработки и анализа логов, что может увеличить вероятность ошибок и затруднить поддержку;
Использование только логов может не обеспечить полную интеграцию с Active Directory и привести к ограниченным возможностям управления и настройки прав доступа.
1. В поиск введите Изменение параметров временных файлов Интернета.
2. В открывшемся окне перейдите на вкладку Безопасность.
3. Выберите Местная интрасеть -> Сайты.
4. Добавьте в открывшемся окне ссылку на Ideco NGFW под тем именем, под которым ввели его в домен. Нужно указывать два URL: c http:// и с https://.
Пример ввода Ideco NGFW в домен example.ru под именем idecoics:
1. Откройте Редактор локальной групповой политики. Это можно сделать, нажав клавиши Win + R и введя в появившемся окне команду gpedit.msc.
2. Перейдите по пути:
3. Введите назначение зоны для DNS-имени Ideco NGFW (в примере idecoics.example.ru) со значением 1 (интрасеть). Укажите два назначения для схем работы по http и https:
При входе на HTTPS-сайт необходимо разрешить браузеру доверять сертификату Ideco NGFW. Чтобы не делать это каждый раз, можно добавить корневой сертификат Ideco NGFW в доверенные корневые сертификаты устройства.
Способы аутентификации импортированных пользователей:
Через Ideco Client - подходит для аутентификации пользователей терминальных серверов (с использованием Remote Desktop IP Virtualization на терминальном сервере);
Авторизация по IP-адресу - подходит для пользователей с фиксированным IP-адресом. IP-адреса на NGFW необходимо прописать вручную каждому пользователю;
Авторизация по VPN - подходит для аутентификации пользователей удаленных сетей.
Настройка прозрачной аутентификации пользователей при прямых подключениях к прокси-серверу аналогична настройке прозрачной SSO-аутентификации. Единственная особенность - указание в качестве адреса прокси-сервера DNS-имени Ideco NGFW.
При прямых подключениях к прокси не указывайте в качестве шлюза IP-адрес Ideco NGFW.
