Ideco NGFW
Скачать PDF
v15
v15
  • Об Ideco UTM
  • Общая информация
    • Лицензирование
    • Cистемные требования и источники обновления данных Ideco UTM
    • Техническая поддержка
      • Режим удаленного помощника
      • Информация о поддержке версий Ideco NGFW
  • Установка
    • Рекомендации при первоначальной настройке
    • Личный кабинет my.ideco
    • Подготовка к установке на устройство
      • Настройка гипервизора
      • Подготовка загрузочного диска
    • Установка
    • Первоначальная настройка
  • Настройка
    • Панель мониторинга
    • Пользователи
      • Учетные записи
        • Управление пользователями
        • Настройка пользователей
        • Пользователи терминального сервера
        • Личный кабинет пользователя
      • Авторизация пользователей
        • Веб-аутентификация
        • IP и MAC авторизация
          • Авторизация по IP-адресу
          • Авторизация по MAC-адресу
        • Авторизация по подсетям
      • VPN-подключение
        • Подключение по PPTP
        • Подключение по PPPoE
        • Подключение по IKEv2/IPsec
        • Подключение по SSTP
        • Подключение по L2TP/IPsec
        • Личный кабинет пользователя
        • Особенности маршрутизации и организации доступа
        • Инструкция по запуску PowerShell скриптов
      • Двухфакторная аутентификация
      • Ideco агент
      • Интеграция с Active Directory/Samba DC
        • Ввод сервера в домен
        • Авторизация пользователей AD/Samba DC
        • Скрипты автоматической разавторизации
        • Импорт пользователей
      • ALD Pro
      • Обнаружение устройств
      • Wi-Fi-сети
    • Мониторинг
      • Авторизованные пользователи и VPN-пользователи
      • График загруженности
      • Монитор трафика
      • Telegram-бот
      • SNMP
      • Zabbix агент
    • Правила трафика
      • Файрвол
        • Таблицы файрвола (FORWARD, DNAT, INPUT и SNAT)
        • Логирование
      • Контроль приложений
      • Контент-фильтр
        • Описание категорий Контент-фильтра
        • Настройка фильтрации HTTPS
        • Изменение страницы блокировки Контент-фильтра
      • Ограничение скорости
      • Антивирусы веб-трафика
      • Предотвращение вторжений
        • Журнал
        • Правила
        • Исключения из правил
        • Настройки
      • Исключения
      • Объекты
      • Квоты
    • Сервисы
      • Сетевые интерфейсы
        • Настройка Локального Ethernet
        • Настройка Внешнего Ethernet
        • Настройка подключения по PPTP
        • Настройка подключения по L2TP
        • Настройка подключения по PPPoE
        • Подключение по 3G и 4G
      • Балансировка и резервирование
      • Маршрутизация
      • BGP
      • OSPF
      • IGMP Proxy
      • Прокси
        • Исключения
        • Настройка прямого подключения к прокси
        • Настройка прокси с одним интерфейсом
      • Обратный прокси
      • DNS
        • Внешние DNS-серверы
        • Master-зоны
        • Forward-зоны
        • DDNS
        • NextDNS
      • DHCP-сервер
      • NTP-сервер
      • IPsec
        • Филиалы и главный офис
        • Устройства
          • Подключение Ideco UTM и Mikrotik
          • Подключение Cisco IOS к Ideco UTM по IPsec
          • Подключение pfSense к Ideco UTM по IPsec
          • Подключение Kerio Control к Ideco UTM по IPsec
          • Подключение Keenetic по SSTP или IPsec
      • Сертификаты
        • Загрузка SSL-сертификата на сервер
        • Создание самоподписанного сертификата c помощью Powershell
        • Создание сертификата c помощью openssl
    • Отчеты и журналы
      • Трафик
      • Журнал событий
      • События безопасности
      • Действия администраторов
      • Журнал авторизации
      • Конструктор отчетов
      • Syslog
    • Управление сервером
      • Администраторы
      • Центральная консоль
        • Установка
        • Политики и объекты
          • Политики безопасности
          • Объекты
        • Сервисы
          • Сертификаты
        • Управление сервером
      • Кластеризация
      • Автоматическое обновление сервера
      • Резервное копирование
      • Терминал
      • Лицензия
      • Дополнительно
    • Почтовый релей
      • Основные настройки
        • Web-почта
        • Настройка почтового релея
        • Настройка почтового сервера
      • Расширенные настройки
        • Настройка домена у регистратора/держателя зоны
      • Антиспам
      • Правила
        • Переадресация почты
      • Почтовая очередь
      • Настройка почтовых клиентов
      • Схема фильтрации почтового трафика
    • Публикация ресурсов
      • Доступ из внешней сети без NAT
      • Публикация веб-приложений (обратный прокси-сервер)
      • Настройка публичного IP-адреса на компьютере в локальной сети
      • Портмаппинг (проброс портов, DNAT)
    • Интеграция UTM и SkyDNS
  • Популярные инструкции и диагностика проблем
    • Обслуживание сервера
      • Тестирование оперативной памяти сервера
      • Разрешить интернет всем: диагностика неполадок
      • Удаленный доступ к серверу
      • Регистрация сервера
    • FAQ
      • Инструкции по созданию VPN-подключений
        • Создание VPN-подключения в Ubuntu
        • Создание подключения в Astra Linux
        • Автоматическое создание подключений
        • Создание подключения в Windows 10
        • Создание VPN-подключения на мобильных устройствах
        • Создание подключения в Mac OS
        • Подключение по SSTP Wi-Fi роутеров Keenetic
      • Как избавиться от асимметричной маршрутизации трафика
      • Что делать если ваш IP попал в черные списки DNSBL
      • Как восстановить доступ к Ideco UTM
      • Как восстановиться на прошлую версию после обновления Ideco UTM
      • Проверка настроек фильтрации с помощью security ideco
      • Выбор аппаратной платформы для Ideco UTM
      • Поддержка устаревших алгоритмов шифрования
      • Настройка программы Proxifier для прямых подключений к прокси серверу
      • Блокировка популярных ресурсов
      • Настройка прозрачной авторизации на Astra linux
      • Настройка автоматической веб-аутентификации на Ideco UTM на Linux
      • Перенос данных и настроек на другой сервер
      • Порядок обработки веб-трафика в Ideco UTM
      • Интеграция Ideco UTM и брокера сетевых пакетов DS Integrity NG
      • Настройка cовместной работы ViPNet Координатор с Ideco UTM
      • Блокировка чат-ботов
      • Таблица портов Ideco UTM, доступных из локальной и внешних сетей
    • Диагностика проблем
      • Ошибка при открытии сайта ERR_CONNECTION_TIMED_OUT или Не открывается сайт
      • Что делать если не работает Интернет
      • Ошибка при авторизации "The browser is outdated"
      • Если соединение по IPsec не устанавливается
  • API
    • Описание хендлеров
    • Примеры использования
      • Редактирование пользовательской категории контент-фильтра
      • Создание правила Forward
  • changelog
    • Ideco UTM 15.X
    • ФСТЭК Ideco UTM 15.Х
    • Ideco Center 15.Х
Powered by GitBook
On this page
  • Настройка авторизации пользователей
  • Настройка Ideco UTM
  • Настройка сервера Microsoft Active Directory
  • Настройка клиентских машин для веб-аутентификации (SSO или NTLM)
  • Настройка аутентификации пользователей при прямых подключениях к прокси-серверу

Was this helpful?

  1. Настройка
  2. Пользователи
  3. Интеграция с Active Directory/Samba DC

Авторизация пользователей AD/Samba DC

PreviousВвод сервера в доменNextСкрипты автоматической разавторизации

Last updated 8 months ago

Was this helpful?

Синхронизация с контроллером домена приостанавливается, если локальные пользователи Ideco UTM находятся в группах AD. Для возобновления синхронизации вынесите локальных пользователей из групп AD. Автоматическая синхронизация произойдет через 15 минут.

Настройка авторизации пользователей

Для пользователей, импортированных из Aсtive Directory, доступны все типы авторизации.

Рекомендуется одновременно использовать оба типа авторизации.

Для пользователей, импортированных из Samba, доступны все типы авторизации, кроме авторизации через журнал безопасности.

Настройка Ideco UTM

Для включения SSO-аутентификации и Авторизации через журнал безопасности Active Directory перейдите на вкладку Пользователи -> Авторизация -> Основное. После внесенных изменений нажмите кнопку Сохранить.

После заполнения поля Доменное имя Ideco UTM и сохранения настроек будет выдан Let’s Encrypt сертификат, и пользователь будет перенаправляться на окно авторизации, минуя страницу исключения безопасности:

Настройка сервера Microsoft Active Directory

Авторизация через журнал безопасности Active Directory:

При авторизации через журнал безопасности контроллера домена AD пользователи будут аутентифицированы при попытке выхода в интернет. Автоматической аутентификации без прохождения трафика через NGFW не происходит, т. к. используется конкурентная политика аутентификации.

Особенности работы авторизации через журнал безопасности Active Directory:

  • При включении (перезагрузке) компьютера в домене AD происходит автоматическая аутентификация под последним аутентифицированным пользователем.

  • При смене пользователя компьютера в домене AD служба аутентификации ideco-auth-backend не будет аутентифицировать нового пользователя. Для аутентификациии пользователя перезагрузите службу ideco-auth-backend.

Используйте Ideco Client совместно с SSO-аутентификацией на Ideco NGFW.

Для работы авторизации через журнал безопасности выполните настройку контроллера домена:

1. В настройках брандмауэра Windows на всех контроллерах домена/доменов разрешите Удаленное управление журналом событий (Remote Event Log Management):

2. Добавьте Ideco UTM в группу безопасности Читатели журнала событий (Event Log Readers).

Для этого зайдите в Диспетчер серверов, кликните на AD DC, правой кнопкой мыши нажмите на строку с нужным сервером и в выпадающем списке выберите Пользователи и компьютеры Active Directory:

Зайдите в Свойства компьютера Ideco UTM, введенного в домен (на скриншоте - idecoutm). Перейдите на вкладку Член групп и нажмите на кнопку Добавить. В появившемся окне нажмите на кнопку Дополнительно и добавьте Читатели журнала событий (Event Log Readers) через кнопку Поиск.

3. Перезапустите службу Авторизация через журнал безопасности Active Directory на Ideco UTM. Отключите эту настройку и заново включите.

При изменении стандартной политики безопасности контроллеров домена выполните действия:

Англоязычная версия

1. Откройте Group policy management.

2. Выберите Forest: test.org -> Domains -> test.org.

3. Нажмите правой кнопкой мыши по Default Domain policy и выберите Edit.

4. В открывшемся окне перейдите по пути Computer configuration -> Policies -> Windows Settings -> Security Settings -> Advanced Audit Policy Configuration -> Audit Policies -> Logon/Logoff.

5. Дважды кликните по Audit Logon.

6. В открывшемся окне на вкладке Policy включите Configure the following audit event и выберите Success.

7. Нажмите Apply и Ok.

8. В папке Audit Policies перейдите в Account Logon.

9. Дважды кликните по Audit Kerberos Authentication Service и повторите действия из пункта 6.

10. Повторите пункты 8 и 9 для Audit Kerberos Service Ticket Operations.

Русскоязычная версия

1. Откройте Управление групповой политикой.

2. Выберите Лес: test.org -> Домены -> test.org.

3. Нажмите правой кнопкой мыши по Default Domain policy и выберите Изменить.

4. В открывшемся окне перейдите по пути Конфигурация компьютера -> Политики -> Конфигурация Windows -> Параметры безопасности -> Конфигурация расширенной политики аудита -> Политики аудита -> Вход/Выход.

5. Дважды кликните по Аудит входа в систему.

6. В открывшемся окне на вкладке Политика включите Настроить следующие события аудита и выберите Успех.

7. Нажмите Применить и Ok.

8. В папке Политики аудита перейдите в Вход учетной записи.

9. Дважды кликните по Аудит службы проверки подлинности Kerberos и повторите действия из пункта 6.

10. Повторите пункты 8 и 9 для Аудита операций с билетами службы Kerberos.

Для обновления политик контроллеров доменов выполните gpupdate /force; Если авторизация пользователей при логине не происходит, нужно проверить в журнале безопасности наличие событий 4768, 4769, 4624.

Настройка клиентских машин для веб-аутентификации (SSO или NTLM)

Для работы аутентификации через веб-браузер с использованием Kerberos или NTLM настройте Internet Explorer (остальные браузеры подхватят его настройки).

Обязательно используйте настройки веб-аутентификации, т.к в некоторых случаях будет необходима аутентификация пользователей через браузер (даже при авторизации через журнал безопасности).

Причины:

  • Логи NTLM обычно содержат только имя пользователя. IP-адрес и время входа и не содержат всей информации, необходимой для полноценной авторизации: группы безопасности, права доступа и другие атрибуты пользователя.

  • Любые проблемы с журналом, такие как повреждение, потеря данных или задержки в записи, могут привести к проблемам с авторизацией.

  • Авторизация только на основе логов может быть менее безопасной, так как логи могут быть подделаны или изменены злоумышленниками.

  • Логи могут быть записаны с задержкой, и трудно гарантировать, что все данные актуальны и согласованы в любой момент времени.

  • Авторизация на основе логов может потребовать сложной логики для обработки и анализа логов, что может увеличить вероятность ошибок и затруднить поддержку.

  • Использование только логов может не обеспечить полную интеграцию с Active Directory и привести к ограниченным возможностям управления и настройки прав доступа.

Для настройки аутентификации через веб-браузер, выполните следующие действия:

1. Зайдите в свойства браузера на вкладку Безопасность.

2. Выберите Местная интрасеть -> Сайты -> Дополнительно.

3. Добавьте в открывшемся окне ссылку на Ideco UTM под тем именем, под которым ввели его в домен. Нужно указывать два URL: c http:// и с https://.

Пример введения Ideco UTM в домен example.ru под именем idecoics.

Для применения настройки ко всем пользователям на клиентской машине выполните действия:

1. Перейдите по пути:

Англоязычная версия

Edit group policy -> Computer Configuration -> Administrative Templates -> Windows Components -> Internet Explorer -> Internet Control Panel -> Security Page -> Site to Zone Assignment List

Русскоязычная версия

Изменение локальной групповой политики -> Политика "Локальный компьютер" -> Административные шаблоны -> Компоненты Windows -> Internet Explorer -> Панель управления браузером -> Вкладка безопасность -> Список назначений зоны для веб-сайтов

2. Введите назначение зоны для DNS-имени Ideco UTM (в примере idecoics.example.ru) со значением равным 1 (интрасеть). Укажите два назначения для схем работы по http и https.

При входе на HTTPS-сайт необходимо разрешить браузеру доверять сертификату Ideco UTM. Чтобы не делать это каждый раз, можно добавить корневой сертификат Ideco UTM в доверенные корневые сертификаты устройства.

На странице настроек браузера Mozilla Firefox (about:config в адресной строке) настройте следующие параметры:

  • network.automatic-ntlm-auth.trusted-uris и network.negotiate-auth.trusted-uris добавьте адрес локального интерфейса Ideco UTM (например idecoUTM.example.ru);

  • security.enterprise_roots.enabled в значении true позволит Firefox доверять системным сертификатом и авторизовать пользователей при переходе на HTTPS-сайты.

Способы аутентификации импортированных пользователей:

  • Через Ideco Agent - подходит для аутентификации пользователей терминальных серверов (с использованием Remote Desktop IP Virtualization на терминальном сервере);

  • Авторизация по IP-адресу - подходит для пользователей с фиксированным IP-адресом. IP-адреса на UTM необходимо прописать вручную каждому пользователю;

  • Авторизация по VPN - подходит для аутентификации пользователей удаленных сетей.

Настройка аутентификации пользователей при прямых подключениях к прокси-серверу

Настройка прозрачной аутентификации пользователей при прямых подключениях к прокси-серверу аналогична настройке прозрачной SSO аутентификации. Единственная особенность - указание в качестве адреса прокси-сервера DNS-имени Ideco UTM.

При прямых подключениях к прокси не указывайте в качестве шлюза IP-адрес Ideco UTM.

Настройка браузера Mozilla Firefox для аутентификации по NTLM при прямом подключении к прокси-северу

Для аутентификации компьютеров, которые не находятся в домене, под доменным пользовательским аккаунтом на странице настроек браузера Mozilla Firefox (about:config в адресной строке) укажите следующие параметры:

  • network.automatic-ntlm-auth.allow-proxies = false;

  • network.negotiate-auth.allow-proxies = false.

Не отключайте данные опции для компьютеров, входящих в домен, т.к. в таком случае будет использоваться устаревший метод авторизации по NTLM.

Возможные проблемы

Если в Internet Explorer появляется окно с текстом Для получения доступа требуется аутентификация, и аутентификация происходит только при ручном переходе по ссылке. Установите параметр Активные сценарии в Internet Explorer в значение Включить.

Доменному пользователю должно быть разрешено аутентифицироваться на Ideco UTM. На контроллере домена зайдите в свойства выбранных пользователей во вкладку Учетная запись -> Вход на..., выберите пункт только на указанные компьютеры и пропишите имя рабочей станции для входа в систему.

Пример данной настройки представлен на скриншоте ниже:

Если сертификат для такого домена уже загружен в разделе , то будет использоваться загруженный сертификат. Новый сертификат выдаваться не будет.

Сертификаты