Ideco NGFW
Скачать PDF
v10
v10
  • Об Ideco UTM
  • Общая информация
    • Лицензирование
    • Источники обновлений данных Ideco UTM
    • Техническая поддержка
  • Установка
    • Создание загрузочного USB flash диска
    • Особенности настроек гипервизоров
    • Процесс установки
    • Первоначальная настройка
  • Настройка
    • Панель мониторинга
    • Пользователи
      • Дерево пользователей
      • Управление пользователями
      • Настройка пользователей
      • Пользователи терминального сервера
      • Авторизация пользователей
        • Авторизация по PPTP
        • Авторизация по PPPoE
        • Авторизация по IP-адресу
        • Авторизация через Ideco Agent
        • Веб авторизация
      • Интеграция с Active Directory
        • Авторизация пользователей Active Directory
        • Ввод сервера в домен
        • Скрипты автоматической авторизации и разавторизации
        • Импорт пользователей
      • Обнаружение устройств
      • Wi-Fi-сети
    • Мониторинг
      • Авторизованные пользователи
      • Журналы
      • Монитор трафика
      • Telegram-бот
      • SNMP
      • Интеграция с Zabbix
      • Syslog
    • Правила доступа
      • Антивирусы веб-трафика
      • Файрвол
      • Контроль приложений
      • Контент-фильтр
        • Описание категорий контент-фильтра
        • Настройка
        • Настройка фильтрации HTTPS
      • Ограничение скорости
      • Администраторы
      • Пользовательские квоты
      • Предотвращение вторжений
      • Объекты
      • Защита от bruteforce-атак
    • Сервисы
      • Туннельные протоколы VPN
        • Подключение пользователей (client-to-site)
          • Ideco VPN-клиент
          • L2TP IPSec
          • SSTP
          • PPTP
          • IPSec IKEv2
          • Личный кабинет пользователя
          • Инструкция по созданию подключения в Windows 7
          • Особенности маршрутизации и организации доступа
          • Подключение по SSTP Wi-Fi роутеров Keenetic
          • Инструкция по запуску PowerShell скриптов
        • Подключение офисов (site-to-site)
          • IPSec
            • Филиалы и главный офис
            • Подключение устройств
            • Подключение пользователей
          • PPTP VPN
          • Входящее подключение Cisco IOS к Ideco UTM по IPSec
          • Исходящее подключение Ideco UTM к Cisco IOS по IPSec
          • Входящее подключение pfSense к Ideco UTM по IPsec
          • Исходящее подключение pfSense к Ideco UTM по IPsec
          • Подключение Keenetic по SSTP
          • Подключение Kerio Control к Ideco UTM по IPSec
          • Подключение Keenetic по IPSec
      • DNS
      • Прокси
        • Прокси сервер
        • Настройка прокси с одним интерфейсом
        • Исключить IP-адреса из обработки прокси сервером
        • Подключение к внешним ICAP-сервисам
      • Сертификаты
        • Загрузка своего SSL-сертификата на сервер
      • DHCP
      • Обратный прокси
      • Настройка дополнительных параметров работы сервера
      • Маршрутизация
    • Отчеты
      • Журнал авторизации
      • Сайты
    • Подключение к провайдеру
      • Настройка подключения по PPTP
      • Настройка подключения по PPPoE
      • Настройка подключения по Ethernet
      • Подключение по 3G и 4G
      • Настройка подключения по L2TP
      • Одновременное подключение к нескольким провайдерам
    • Почтовый сервер
      • Настройка почтового сервера
      • Настройка почтовых клиентов
      • Настройка почтового релея
      • Web-почта
      • Схема фильтрации почтового трафика
      • Переадресация почты
      • Настройка домена у регистратора/держателя зоны
    • Публикация ресурсов
      • Доступ до внешних ресурсов без авторизации
      • Доступ из внешней сети без NAT
      • Публикация веб-приложений (обратный прокси-сервер)
      • Настройка публичного IP-адреса на компьютере в локальной сети
      • Портмаппинг (проброс портов, DNAT)
    • Терминал
    • Интеграция UTM и SkyDNS
  • Обслуживание
    • Управление лицензиями
    • Обновление сервера
    • Регистрация сервера
    • Резервное копирование и восстановление данных
    • Режим удаленного помощника
    • Удаленный доступ для управления сервером
    • Личный кабинет
  • Популярные рецепты
    • Популярные рецепты
      • Доступ в удаленные сети через роутер в локальной сети
      • Что делать если ваш IP попал в черные списки DNSBL
      • Что делать если не работает Интернет
      • Как восстановить доступ к Ideco UTM
      • Проверка настроек фильтрации с помощью security ideco
      • Выбор аппаратной платформы для Ideco UTM
      • Поддержка устаревших алгоритмов шифрования
      • Настройка программы Proxifier для прямых подключений к прокси серверу
      • Блокировка популярных ресурсов
      • Настройка прозрачной авторизации на Astra linux
      • Перенос данных и настроек на другой сервер
  • Ссылки
    • Статьи по тегам
  • changelog
    • Версия Ideco UTM 10.X
    • Версия Ideco UTM 9.X
    • Версия Ideco UTM 8.X
    • Версия Ideco UTM 7.Х.Х
      • Версия Ideco UTM 7.9.X
      • Версия Ideco UTM 7.8.X
      • Версия Ideco UTM 7.7.X
      • Версия Ideco UTM 7.6.Х
      • Версия Ideco UTM 7.5.Х
      • Версия Ideco UTM 7.4.X
Powered by GitBook
On this page
  • Настройка авторизации пользователей
  • Настройка Ideco UTM
  • Настройка компьютеров пользователей и политик домена
  • Авторизация через журнал безопасности Active Directory
  • Веб-авторизация (SSO или NTLM)
  • Настройка авторизации пользователей при прямых подключениях к прокси-серверу
  • Настройка браузера Mozilla Firefox для авторизации по NTLM при прямом подключении к прокси-северу
  • Возможные причины ошибок при авторизации

Was this helpful?

  1. Настройка
  2. Пользователи
  3. Интеграция с Active Directory

Авторизация пользователей Active Directory

PreviousИнтеграция с Active DirectoryNextВвод сервера в домен

Last updated 3 years ago

Was this helpful?

Настройка авторизации пользователей

Для пользователей, импортированных из Active Directory, доступны все типы авторизации пользователей. Наиболее часто используемые варианты авторизации пользователей - Single Sign-On аутентификация через Active Directory с использованием Kerberos/NTLM для авторизации через веб-браузер и авторизация через журнал безопасности Active Directory (рекомендуется одновременное использование обоих типов авторизации).

Настройка Ideco UTM

Для включения Single Sign-On аутентификации и Авторизация через журнал безопасности Active Directory перейдите на вкладку Пользователи -> Авторизация -> Основное и включите эти типы авторизации. Далее нажмите кнопку Сохранить.

Настройка компьютеров пользователей и политик домена

Авторизация через журнал безопасности Active Directory

Поддерживается начиная с версии контроллера домена 2008 standard edition.

Для работы авторизации через журнал безопасности необходимо выполнить настройку на основном контроллере домена:

  • В настройках брандмауэра Windows на всех контроллерах домена (или доменов) разрешить удаленный доступ к логам безопасности.

  • Добавить Ideco UTM в группу безопасности Читатели журнала событий (Event Log Readers).

  • После настройки доступа к журналу, необходим перезапуск службы Авторизация через журнал безопасности Active Directory на Ideco UTM, для этого отключите эту настройку и заново включите.

  • Если вы изменяли политики безопасности контроллеров домена по сравнению со стандартными, то нужно включить логирование в политиках безопасности, активировав следующий параметр: Default Domain Controllers Policy -> Computer Configuration->Policies->Windows Settings->Security Settings-> Advanced Audit Policy Configuration -> Audit Policies -> Logon/Logoff -> Audit Logon -> Success.

    Путь для русскоязычной версии: Политика Default Domain Controllers Policy -> Конфигурация Windows -> Параметры безопасности -> Конфигурация расширенной политики аудита -> Политики аудита -> Вход/выход -> Аудит входа в систему -> Успех.

  • Также необходимо включить следующие параметры: Default Domain Controllers Policy -> Computer Configuration->Policies->Windows Settings->Security Settings-> Advanced Audit Policy Configuration -> Audit Policies -> Account logon -> "Audit Kerberos Authentication Service" и "Audit Kerberos Service Ticket Operations" -> Success.

    Путь для русскоязычной версии: Политика Default Domain Controllers Policy -> Конфигурация Windows -> Параметры безопасности -> Конфигурация расширенной политики аудита -> Политики аудита -> Вход учетной записи -> "Аудит службы проверки подлинности Kerberos" и "Аудит операций билета службы керберос" -> Успех.

  • Для обновления политик контроллеров доменов выполните команду gpupdate /force.

  • Если авторизация пользователей при логине не происходит, нужно проверить в журнале безопасности наличие событий 4768, 4769, 4624.

Веб-авторизация (SSO или NTLM)

Для работы авторизации через веб-браузер (с использованием Kerberos либо NTLM) необходима настройка Internet Explorer (остальные браузеры подхватывают его настройки). Обязательно используйте эти настройки, даже если обычно пользователи авторизуются через журнал безопасности, в некоторых случаях будет необходима их авторизация через браузер.

Для того чтобы настроить авторизацию через веб-браузер, необходимо выполнить следующие действия:

  1. Зайдите в свойствах браузера на вкладку Безопасность.

  2. Выберите Местная интрасеть -> Сайты -> Дополнительно.

  3. Добавьте в открывшемся окне ссылку на Ideco UTM под тем именем, под которым вы ввели его в домен. Нужно указывать два URL: c http:// и с https://.

На скриншоте ниже Ideco UTM введен в домен example.ru под именем idecoics.

Также данную настройку можно сделать с помощью групповых политик Active Directory сразу же для всех пользователей. Для этого необходимо выполнить следующие действия:

  1. В групповых политиках для пользователей перейдите по пути Конфигурация пользователя -> Политики -> Административные шаблоны -> Компоненты Windows -> Internet Explorer -> Панель управления браузером -> Вкладка безопасность -> Список назначений зоны для веб-сайтов.

  2. Введите назначение зоны для DNS-имени Ideco UTM (в примере idecoics.example.ru) со значением равным 1 (интрасеть). Необходимо указать два назначения, для схем работы по http и https.

На странице настроек браузера Mozilla Firefox (about:config в адресной строке) настройте следующие параметры:

  • network.automatic-ntlm-auth.trusted-uris и network.negotiate-auth.trusted-uris добавьте адрес локального интерфейса Ideco UTM (например idecoUTM.example.ru).

  • security.enterprise_roots.enabled в значении true позволит Firefox доверять системным сертификатом и авторизовать пользователей при переходе на HTTPS-сайты.

  • security.enterprise_roots.enabled = true.

Также для пользователей, импортированных через AD, возможны следующие способы авторизации:

  • Через Ideco Agent - подходит для авторизации пользователей терминальных серверов (с использованием Remote Desktop IP Virtualization на терминальном сервере).

  • Авторизация по IP-адресу - подходит в случае, если пользователи всегда работают с фиксированных IP-адресов. IP-адреса на UTM необходимо прописывать вручную каждому пользователю.

  • Авторизация по PPTP - если в сети предъявляются повышенные требования к конфиденциальности информации, передаваемой между шлюзом и устройствами пользователей, или используется слабо защищенный от перехвата трафика WiFi.

Настройка авторизации пользователей при прямых подключениях к прокси-серверу

Настройка прозрачной авторизации пользователей при прямых подключениях к прокси-серверу аналогична настройке прозрачной Single Sign-On авторизации, описанной выше в инструкции. Единственная особенность - указание в качестве адреса прокси-сервера не IP-адреса Ideco UTM, а его DNS-имени.

Настройка браузера Mozilla Firefox для авторизации по NTLM при прямом подключении к прокси-северу

Для компьютеров, которые не находятся в домене Active Directory, в случае необходимости их авторизации под доменным пользовательским аккаунтом, на странице настроек браузера Mozilla Firefox (about:config в адресной строке) настройте следующие параметры:

  • network.automatic-ntlm-auth.allow-proxies = false;

  • network.negotiate-auth.allow-proxies = false.

Не отключайте данные опции для компьютеров, входящих в домен Active Directory, т.к. в таком случае будет использоваться устаревший метод авторизации по NTLM.

Возможные причины ошибок при авторизации

  • Если в Internet Explorer появляется окно с текстом Для получения доступа требуется аутентификация, и авторизация происходит только при ручном переходе по ссылке на авторизацию, то по каким-то причинам не происходит редирект в браузере на страницу авторизации (он может быть ограничен настройками безопасности браузера). В таком случае, установите параметр Активные сценарии в Internet Explorer в значение Включить.

  • Доменному пользователю должно быть разрешено авторизоваться на Ideco UTM. На контроллере домена зайдите в свойства выбранных пользователей во вкладку Учетная запись -> Вход на..., выберите пункт только на указанные компьютеры и пропишите имя рабочей станции для входа в систему.

Пример данной настройки представлен на скриншоте ниже:

  • При авторизации через журнал безопасности контроллера домена Active Directory пользователи будут авторизованы при попытке выхода в Интернет (любым трафиком). Автоматической авторизации без прохождения трафика через UTM не происходит, т.к. используется конкурентная политика авторизации.

При входе на HTTPS-сайт, для авторизации необходимо разрешить браузеру доверять сертификату Ideco UTM (чтобы не делать это каждый раз, можно добавить корневой сертификат Ideco UTM в доверенные корневые сертификаты устройства. Например, с помощью политик домена). Можно также использовать пользователей при логине.

скрипты для автоматической авторизации