Ideco NGFW
Скачать PDF
v7.9
v7.9
  • Об Ideco UTM
  • Общая информация
    • Лицензирование
    • Техническая поддержка
  • Установка
    • Создание загрузочного USB flash диска
    • Особенности настроек гипервизоров
    • Системные требования
    • Подготовка к установке
    • Процесс установки
    • Первоначальная настройка
  • Настройка
    • Подключение к провайдеру
      • Подключение по Ethernet
      • Подключение по PPPoE
      • Подключение по PPTP (VPN)
      • Подключение по L2TP (VPN)
      • Подключение по 3G, 4G (LTE)
      • Одновременное подключение к нескольким провайдерам
    • Управление пользователями
      • Дерево пользователей
      • Управление учетными записями пользователей
      • Настройка учетных записей пользователей
      • Интеграция с Active Directory
        • Ввод сервера в домен
        • Импорт пользователей
        • Авторизация пользователей
          • Скрипты автоматической авторизации/разавторизации
      • Пользователи терминального сервера
      • Wi-Fi сети
    • Типы авторизации
      • Авторизация по IP-адресу
      • Авторизация по PPPoE
      • Авторизация по PPTP
      • Веб-авторизация
      • Single Sign-On аутентификация через Active Directory
      • Авторизация через Ideco Agent
    • Публикация ресурсов
      • Публикация веб-приложений (обратный прокси-сервер)
      • Настройка почтового релея для публикации сервера в локальной сети
      • Портмаппинг (проброс портов, DNAT)
      • Настройка публичного IP-адреса на компьютере в локальной сети
      • Доступ из внешней сети без NAT
      • Доступ до внешних ресурсов без авторизации
    • Мониторинг
      • Пересылка системных сообщений
      • SNMP
      • Интеграция с Zabbix
    • Правила доступа
      • Файрвол
      • Контроль приложений
        • Описание протоколов
      • Контент-фильтр
        • Описание категорий контент-фильтра
        • Настройка фильтрации HTTPS
      • Ограничение скорости
      • Антивирусы веб-трафика
      • Предотвращение вторжений
      • Объекты
      • Администраторы
        • Удаленный доступ по SSH
      • Пользовательские квоты
      • Защита от bruteforce-атак
    • Сервисы
      • Маршрутизация
      • Обнаружение устройств
      • Профили выхода в Интернет
      • Прокси
        • Подключение к внешним ICAP-сервисам
        • Настройка прокси с одним интерфейсом
        • Исключить IP-адреса из обработки прокси-сервером
      • Почтовый сервер
        • Подготовка к настройке почтового сервера
        • Настройка почтового сервера
        • Настройка почтовых клиентов
        • Web-почта
        • Переадресация почты (почтовые алиасы)
        • Дополнительные возможности и антиспам
        • Настройка почтового релея
        • Fetchmail
        • Рекомендации по защите сервера
        • Схема фильтрации почтового трафика
      • Обратный прокси
        • Протестированные CMS
        • Web Application Firewall
      • DNS
      • DHCP
      • Туннельные протоколы VPN
        • Подключение офисов (site-to-site)
          • IPSec
            • Филиалы и главный офис
            • Подключение пользователей
            • Подключение устройств
          • OpenVPN
          • PPTP VPN
          • Подключение Keenetic по SSTP
          • Подключение pfSense к Ideco UTM по IPsec
          • Подключение pfSense к Ideco UTM с использованием OpenVPN
          • Подключение Kerio Control к Ideco UTM по IPSec
        • Подключение пользователей (client-to-site)
          • IPSec IKEv2
            • Скрипт автоматического создания пользовательских подключений по IPSec IKEv2
          • SSTP
            • Скрипт автоматического создания пользовательских подключений по SSTP
            • Подключение Wi-Fi роутеров Keenetic
          • L2TP/IPSec
            • Скрипт автоматического создания пользовательских подключений по L2TP/IPSec
          • PPTP
          • Особенности маршрутизации и организации доступа
          • Веб-кабинет пользователя
          • Инструкция по запуску PowerShell-скриптов
            • Инструкция по созданию подключения в Windows 7
      • Дополнительно
    • Отчеты
    • Интеграция UTM и SkyDNS
  • Обслуживание
    • Обслуживание сервера
      • Обновление сервера
      • Удаленный доступ для управления сервером
      • Регистрация сервера
      • Резервное копирование и восстановление данных
      • Режим удаленного помощника
  • Популярные рецепты
    • Популярные рецепты
      • Проверка настроек фильтрации с помощью security.ideco.ru
      • Что делать если ваш IP попал в черные списки DNSBL
      • Настройка программы Proxifier для прямых подключений к прокси-серверу
      • Установка доверенного SSL сертификата на сервер
      • Доступ в удаленные сети через роутер в локальной сети
      • Перенос данных и настроек на другой сервер
      • Выбор аппаратной платформы для Ideco UTM
      • Восстановление пароля администратора
        • Для версий 6.0 - 7.6
      • Особенности подключения через ADSL-модем
      • Использование ics_tune.sh
      • Блокировка популярных ресурсов
      • Что делать если не работает Интернет
  • Changelog
    • Версия Ideco UTM 7.Х.Х
Powered by GitBook
On this page
  • Настройка авторизации пользователей
  • Настройка Ideco UTM
  • Настройка компьютеров пользователей и политик домена
  • Настройка авторизации пользователей при прямых подключениях к прокси-серверу
  • Настройка браузера Mozilla Firefox для авторизации по NTLM при прямом подключении к прокси-северу на UTM
  • Возможные ошибки авторизации

Was this helpful?

  1. Настройка
  2. Управление пользователями
  3. Интеграция с Active Directory

Авторизация пользователей

PreviousИмпорт пользователейNextСкрипты автоматической авторизации/разавторизации

Last updated 3 years ago

Was this helpful?

Настройка авторизации пользователей

Для пользователей, импортированных из Active Directory, доступны все пользователей. Наиболее часто используемый вариант авторизации пользователей - Single Sign-On аутентификация через Active Directory - с использованием Kerberos/NTLM для авторизации через веб-браузер и логов контроллера домена (рекомендуется одновременное использование обоих типов авторизации). Необходимые настройки Ideco UTM и политик Active Directory описаны в данной статье.

Настройка Ideco UTM

  • Включите данный тип авторизации на вкладке Сервисы -> Авторизация пользователей -> Включить веб-авторизацию -> Single Sign-On аутентификация через Active Directory. И нажмите кнопку Сохранить.

  • На вкладке Сервер -> Active Directory установите флажок Разрешить авторизацию по логам.

Настройка компьютеров пользователей и политик домена

Авторизация по логам контроллера домена AD

Поддерживается начиная с версии контроллера домена 2008 standard edition и UTM 7.6.

Для работы авторизации по логам безопасности необходимо выполнить настройку на основном контроллере домена:

  • В настройках брандмауэра Windows на всех контроллерах домена (или доменов) разрешить удаленный доступ к логам безопасности.

  • Добавить Ideco UTM в группу безопасности Читатели журнала событий (Event Log Readers).

  • После настройки доступа к логам, необходим перезапуск службы авторизации по логам на Ideco UTM, для этого снимите и снова установите флажок Разрешить авторизацию по логам, на вкладке Сервисы -> Active Directory.

  • Если вы изменяли политики безопасности контроллеров домена по сравнению со стандартными, то нужно включить логирование в политиках безопасности, нужно активировать следующий параметр: Default Domain Controllers Policy -> Computer Configuration -> Policies -> Windows Settings -> Security Settings -> Advanced Audit Policy Configuration -> Audit Policies -> Logon/Logoff -> Audit Logon -> Success.

  • Также необходимо включить следующие параметры: Default Domain Controllers Policy -> Computer Configuration->Policies->Windows Settings->Security Settings-> Advanced Audit Policy Configuration -> Audit Policies -> Account login -> "Аудит службы проверки подлинности Kerberos" и "Аудит операций билета службы керберос" ->Success.

  • Для обновления политик контроллеров доменов нужно выполнить команду: gpupdate /force.

  • Если авторизация пользователей при логине не происходит, нужно проверить в журнале безопасности наличие событий 4768, 4769, 4624

Веб-авторизация (SSO или NTLM)

Для работы авторизации через веб-браузер (с использованием Kerberos либо NTLM) необходима настройка Internet Explorer (остальные браузеры подхватывают его настройки). Обязательно используйте эти настройки, даже если обычно пользователи авторизуются по логам безопасности, в некоторых случаях будет необходима их авторизация браузером:

  • Зайдите в свойства браузера на вкладку Безопасность.

  • Выберите Местная интрасеть и нажмите кнопку Сайты.

  • В открывшемся окне нажмите кнопку Дополнительно.

  • Добавьте в открывшемся окне ссылку на Ideco UTM под тем именем, под которым вы ввели его в домен. На примере: Ideco UTM введен в домен example.ru под именем idecoUTM.

    Нужно указывать два URL: c http:// и с https://.

Также данную настройку можно сделать с помощью групповых политик Active Directory сразу же для всех пользователей. В групповых политиках для пользователей нужно настроить:

Конфигурация пользователя - Политики - Административные шаблоны - Компоненты Windows - Internet Explorer - Панель управления браузером - Вкладка безопасность - Список назначений зоны для веб-сайтов. Введите назначение зоны для DNS-имени Ideco UTM (в примере idecoUTM.example.ru) значение 1 (интрасеть). Необходимо указать два значения, для схем работы по http и https:

Для браузера Mozilla Firefox в about:config требуются настроить два параметра: network.automatic-ntlm-auth.trusted-uris и network.negotiate-auth.trusted-uris, добавив в них адрес локального интерфейса Ideco UTM (например idecoUTM.example.ru). Параметр security.enterprise_roots.enabled в значении true позволит Firefox-у доверять системным сертификатом и авторизовать пользователей при переходе на HTTPS-сайты.

Настройте about:config в firefox следующим образом: security.enterprise_roots.enabled = true network.automatic-ntlm-auth.trusted-uris = Доменное имя Ideco UTM в вашей сети, например idecoUTM.example.ru network.negotiate-auth.trusted-uris = Доменное имя Ideco UTM в вашей сети, например idecoUTM.example.ru

Также для пользователей, импортированных через AD, возможны все способы авторизации:

Настройка авторизации пользователей при прямых подключениях к прокси-серверу

Настройка прозрачной авторизации пользователей при прямых подключениях к прокси-серверу аналогична настройке прозрачной Single Sign-On авторизации, описанной выше в инструкции.

Единственной особенностью является необходимость указания в качестве адреса прокси-сервера не IP-адреса Ideco UTM, а его DNS-имени.

Настройка браузера Mozilla Firefox для авторизации по NTLM при прямом подключении к прокси-северу на UTM

Для компьютеров, которые не находятся в домене Active Directory, в случае необходимости их авторизации под доменным пользовательским аккаунтом в браузере Firefox необходимы следующие его настройки:

на странице настроек браузера (about:config в адресной строке) установите следующим параметрам значение false:network.automatic-ntlm-auth.allow-proxies network.negotiate-auth.allow-proxies

Не отключайте данные опции для компьютеров, входящих в домен Active Directory, т.к. в таком случае будет использоваться устаревший метод авторизации по NTLM.

Возможные ошибки авторизации

  • Если пользователь видит окно Internet Explorer с текстом Для получения доступа требуется аутентификация и авторизация происходит только при ручном переходе по ссылке на авторизацию, значит по каким-то причинам не происходит редирект в браузере на страницу авторизации (он может быть ограничен настройками безопасности браузера). Параметр Активных сценариев в Internet Explorer должен быть установлен в значение Включить:

  • Доменному пользователю должно быть разрешено авторизоваться на Ideco UTM (введенном в домен под выбранным при входе в домен именем), в случае, если вы ограничиваете возможность авторизации пользователей избранными компьютерами.

  • При авторизации по логам безопасности контроллера домена Active Directory пользователи будут авторизованы при попытке выхода в Интернет (любым трафиком), после их логина на компьютере. Автоматической авторизации без прохождения трафика через UTM не

    происходит, т.к. используется конкурентная политика авторизации. При этом "лишние" лицензии заняты не будут.

При входе на HTTPS-сайт, для авторизации необходимо разрешить браузеру доверять сертификату Ideco UTM (чтобы не делать это каждый раз, можно добавить корневой сертификат Ideco UTM в доверенные корневые сертификаты устройства. Например, с помощью . Можно использовать для автоматической авторизации пользователей при логине.

- подходит для авторизации пользователей терминальных серверов (с использованием Remote Desktop IP Virtualization на терминальном сервере).

- подходит в случае, если пользователи всегда работают с фиксированных IP-адресов. IP-адреса на UTM необходимо прописывать вручную каждому пользователю.

- если в сети предъявляются повышенные требования к конфиденциальности информации, передаваемой между шлюзом и устройствами пользователей, или используется слабо защищенный от перехвата трафика WiFi.

политик домена
скрипты
Авторизация через Ideco Agent
Авторизация по IP-адресу
Авторизация по PPTP
типы авторизации