Авторизация по MAC-адресу
Last updated
Last updated
Данный тип авторизации подойдет для тех устройств, у которых время от времени меняется местоположение между локальными сетями внутри организации (например, рабочие ноутбуки сотрудников) или сетевых устройств, на которых не настроена привязка IP+MAC и выдается IP-адрес через DHCP.
Чтобы устройство могло авторизоваться на UTM по MAC-адресу, они оба должны находиться в одном широковещательном домене и шлюзом для устройств выступает UTM.
Пользователи, находящиеся за роутером в локальной сети UTM, не могут авторизоваться MAC-адресу, так как роутер разделяет широковещательные домены и не обрабатывает трафик уровня L2. Такие пользователи могут авторизоваться только по IP-адресу. Для работы MAC-авторизации необходимо, чтобы UTM и пользователь находились в одном L2-сегменте сети.
Чтобы авторизовать пользователя по MAC-адресу, необходимо выполнить следующие действия:
1. Узнайте MAC-адрес устройства. Для этого в командной строке Windows введите команду: ipconfig /all | findstr Address / Для русскоязычной версии ipconfig /all | findstr адрес
2. Удостоверьтесь что компьютер и NGFW находятся в одном широковещательном домене.
Для этого на NGFW в разделе Управление сервером -> Терминал введите команду: ip neigh
Данная команда выводит ARP-таблицу UTM'а, наличие записи с MAC-адресом устройства и статусом REACHEBLE говорит об имеющейся L2 доступности между UTM и устройством.
3. Создайте правило-связку Пользователь <--> MAC-адрес в разделе: Пользователи -> Авторизация -> IP и MAC авторизация.
Для MAC-авторизации невозможно настроить постоянную авторизацию. Это технически невозможно, т.к. для создания авторизованной сессии необходим IP-адрес. Поэтому рекомендуется использовать MAC-авторизацию в комбинации с DHCP-сервером.
Результат можно будет посмотреть в разделе: Мониторинг -> Авторизованные пользователи, там отобразится сессия с типом авторизации MAC.
В организациях часто возникает ситуация, когда необходимо перемещаться между локальными сетями с ноутбуком на руках и при этом оставаться всегда в сети. В таких случаях, авторизация по MAC-адресу прекрасно себя показывает.
У Вас должен быть настроен собственный DHCP-сервер или на Ideco UTM. В раздаваемых реквизитах, шлюзом должен выступать локальный интерфейс Ideco UTM.
Возьмем за пример ситуацию, когда пользователю Николай Холосьев понадобилось переместиться с ноутбуком между локальными сетями:
На UTM имеются настроенные следующим образом локальные интерфейсы:
У данного пользователя настроено правило авторизации по MAC-адресу:
Также у него есть одна активная сессия в разделе Авторизованные пользователи:
Далее пользователь переходит из одной локальной сети в другую. Ему выдаются другие сетевые реквизиты от DHCP-сервера, в которых шлюзом указан UTM, и при обнаружении любой активности со стороны пользователя, у него появится вторая сессия с авторизацией по MAC-адресу:
Если у пользователя не появляется доступ и вторая сессия с авторизацией по MAC-адресу, то у пользователя не обновились сетевые реквизиты.
Сбросьте старые сетевые реквизиты от DHCP-сервера и получите новые с помощью команды: ipconfig /release && ipconfig /renew.
Сетевым устройствам, которым необходим доступ в Интернет, должны быть авторизованы на UTM. Такие устройства можно назвать статическими и для них подойдет авторизация по MAC-адресу.
Для авторизации сетевого принтера, необходимо создать пользователя для этого принтера вручную или через Обнаружение устройств.
Для сетевого принтера в разделе Пользователи -> Авторизация -> IP и MAC авторизация необходимо создать правило Пользователь <--> MAC-адрес
При обнаружении активности от сетевого принтера или другого устройства, его пользователь сразу появится в Мониторинг -> Авторизованные пользователи
В современных телефонах имеется опция Рандомизация MAC-адреса. Эта опция будет мешать при авторизации телефона по MAC-адресу. Рекомендуется эту опцию отключать, либо использовать другие типы авторизации (например: Веб-аутентификации)
