vpp-v15

IP и MAC авторизация

Статья описывает процесс настройки IP и MAC авторизации в Ideco UTM VPP.

Для создания правила IP и MAC авторизации:

  • Перейдите в раздел Пользователи -> Авторизация -> IP и MAC авторизация;

  • Нажмите Добавить и заполните форму используя возможности:

    • заполнять поля IP и MAC можно как вместе, так и отдельно;

    • установка флага Постоянно авторизован обеспечит непрерывный доступ в интернет, даже если пользователь не активен.

    • созданные в этом разделе правила отражаются в учетной записи пользователя.

Пользователи, которые находятся за маршрутизатором в локальной сети UTM, не могут авторизоваться правилам IP+MAС или MAC, так как маршрутизатор не обрабатывает трафик уровня L2.

Авторизация только по IP-адресу

При авторизации по IP пользователь получит доступ до Интернет-ресурсов после инициации подключения. Без ввода логина и пароля.

Также можно авторизовать сетевые устройства (камеры видеонаблюдения, сетевые принтеры и прочее), которые находятся в разных с Ideco UTM широковещательных доменах и требуют доступ в Интернет. Это позволит UTM создать сессию, а сетевому оборудованию не потребуется делать запрос в Интернет.

Если правило авторизации задается устройству (маршрутизатору) и в нем включен SNAT, то при авторизации его внешнего IP на UTM, все пользователи за этим маршрутизатором получат доступ в Интернет.

IP-адрес на компьютере/устройстве, с которого инициируется сессия, должен совпадать с указанным в правиле.

Создание правила авторизации по IP-адресу

Чтобы авторизовать пользователя по IP-адресу:

  1. Создайте пользователя в Ideco NGFW или импортируйте его из Active Directory, который будет авторизован по IP.

  2. Перейдите в раздел Пользователи -> Учетные записи -> учетная запись пользователя -> IP и MAC авторизация или Пользователи -> Авторизация -> IP и MAC авторизация.

  3. Создайте правило-связку IP-адрес <--> Пользователь:

Просмотр сессии

После того как пользователь делает запрос в Интернет, на UTM будет автоматически создана сессия с типом авторизации IP в разделе Мониторинг -> Авторизованные пользователи:

Под одним пользователем можно авторизовать только одно устройство по IP-адресу. Но одновременно с данным типом авторизации под одним пользователем можно авторизовать еще четыре устройства любым другим методом авторизации.

Авторизация только по MAC-адресу

Данный тип авторизации подойдет для тех устройств, у которых время от времени меняется местоположение между локальными сетями внутри организации (например, рабочие ноутбуки сотрудников) или сетевых устройств, на которых не настроена привязка IP+MAC и выдается IP-адрес через DHCP.

Создание правила авторизации по MAC-адресу

Чтобы авторизовать пользователя по MAC-адресу, необходимо выполнить следующие действия:

1. Узнать MAC-адрес устройства. Для этого в командной строке Windows введите команду: ipconfig /all | findstr Address Для русскоязычной версии: ipconfig /all | findstr адрес

2. Удостовериться, что компьютер и UTM находятся в одном широковещательном домене. Для этого на UTM в разделе Управление сервером -> Терминал введите команду: ip neigh:

Команда выводит ARP-таблицу UTM'а, наличие записи с MAC-адресом устройства и статусом REACHEBLE говорит об имеющейся L2 доступности между UTM и устройством.

3. Создать правило-связку Пользователь <--> MAC-адрес в разделе Пользователи -> Авторизация -> IP и MAC авторизация:

Для MAC-авторизации невозможно настроить постоянную авторизацию. Это технически невозможно, т.к. для создания авторизованной сессии необходим IP-адрес.

Рекомендуем в телефонах отключать опцию Рандомизация MAC-адреса, она мешает при авторизации телефона по MAC-адресу.

PreviousНастройка авторизации пользователейNextАвторизация по подсетям

Last updated