Аутентификация пользователей AD/Samba DC

Настройка авторизации пользователей

Для пользователей, импортированных из Aсtive Directory, доступны все типы авторизации.

Авторизацию через журнал безопасности Active Directory рекомендуется использовать совместно с SSO-авторизацией.

Для пользователей, импортированных из SambaDC, доступны все типы авторизации, кроме авторизации через журнал безопасности.

Чтобы пользователи SambaDC могли использовать VPN-подключение, необходимо включить NTLM-авторизацию. Для этого отредактируйте файл с помощью команды nano /etc/samba/smb.conf, добавив в секцию [global] строку ntlm auth = yes.

Если у домена, в который введен NGFW, настроено доверие с другим доменом, то пользователи доверенного домена смогут авторизоваться на NGFW при выполнении условий:

Для аутентификации пользователей домена используется SSO-аутентификация;
Пользователь доверенного домена должен быть в локальной группе AD на контроллере домена, и эта группа должна быть импортирована на NGFW.

После авторизации пользователи доверенного домена будут добавлены в группу AD Пользователи из доверенных доменов в дереве пользователей NGFW.

Настройка Ideco NGFW

Для включения SSO-аутентификации и Авторизации через журнал безопасности Active Directory перейдите на вкладку Пользователи -> Авторизация -> Основное и заполните поля:

Для корректной работы SSO-аутентификации используйте Доменное имя Ideco NGFW длиной не более 15 символов.
Включите настройку Веб-аутентификация и выберите SSO-аутентификация через Active Directory и ALD Pro.
Включите настройку Авторизации через журнал безопасности Active Directory.
Установите тайм-аут разавторизации пользователей. Значение по умолчанию - 15 минут. Диапазон доступных значений - от 10 минут до 1 дня.

После внесенных изменений нажмите кнопку Сохранить.

После заполнения поля Доменное имя Ideco NGFW и сохранения настроек будет выдан Let’s Encrypt сертификат, пользователь будет перенаправляться на окно авторизации, минуя страницу исключения безопасности:

Если сертификат для такого домена уже загружен в разделе Сертификаты, то будет использоваться загруженный сертификат. Новый сертификат выдаваться не будет.

Настройка сервера Microsoft Active Directory

При авторизации через журнал безопасности контроллера домена AD пользователи будут аутентифицированы при попытке выхода в интернет. Автоматической аутентификации без прохождения трафика через NGFW не происходит, т. к. используется конкурентная политика аутентификации.

Особенности работы авторизации через журнал безопасности Active Directory:

При включении (перезагрузке) компьютера в домене AD происходит автоматическая аутентификация под последним аутентифицированным пользователем.
При смене пользователя компьютера в домене AD служба аутентификации ideco-auth-backend не будет аутентифицировать нового пользователя. Для аутентификации пользователя перезагрузите службу ideco-auth-backend.

Используйте Ideco Client совместно с SSO-аутентификацией на Ideco NGFW.

Для работы авторизации через журнал безопасности выполните настройку контроллера домена:

1. В настройках брандмауэра Windows на всех контроллерах домена разрешите Удаленное управление журналом событий (Remote Event Log Management):

2. Добавьте Ideco NGFW в группу безопасности Читатели журнала событий (Event Log Readers). Чтобы это сделать:

Зайдите в Диспетчер серверов, кликните на AD DC, правой кнопкой мыши нажмите на строку с нужным сервером и в выпадающем списке выберите Пользователи и компьютеры Active Directory:

Откройте Свойства компьютера Ideco NGFW, введенного в домен (на скриншоте - idecongfw). Перейдите на вкладку Член групп и нажмите на кнопку Добавить. В появившемся окне нажмите на кнопку Дополнительно и добавьте Читатели журнала событий (Event Log Readers) через кнопку Поиск:

3. Перезапустите службу Авторизация через журнал безопасности Active Directory на Ideco NGFW. Для этого отключите эту опцию, а затем снова включите.

При изменении стандартной политики безопасности контроллеров домена выполните действия:

Англоязычная версия

1. Откройте Group policy management.

2. Выберите Forest: Доменное имя AD -> Domains -> Доменное имя AD.

3. Нажмите правой кнопкой мыши по Default Domain policy и выберите Edit.

4. В открывшемся окне перейдите по пути Computer configuration -> Policies -> Windows Settings -> Security Settings -> Advanced Audit Policy Configuration -> Audit Policies -> Logon/Logoff.

5. Дважды кликните по Audit Logon.

6. В открывшемся окне на вкладке Policy включите Configure the following audit event и выберите Success.

7. Нажмите Apply и OK.

8. В папке Audit Policies перейдите в Account Logon.

9. Дважды кликните по Audit Kerberos Authentication Service и повторите действия из пункта 6.

10. Повторите пункты 8 и 9 для Audit Kerberos Service Ticket Operations.

Русскоязычная версия

1. Откройте Управление групповой политикой.

2. Выберите Лес: Доменное имя AD -> Домены -> Доменное имя AD.

3. Нажмите правой кнопкой мыши по Default Domain policy и выберите Изменить.

4. В открывшемся окне перейдите по пути Конфигурация компьютера -> Политики -> Конфигурация Windows -> Параметры безопасности -> Конфигурация расширенной политики аудита -> Политики аудита -> Вход/Выход.

5. Дважды кликните по Аудит входа в систему.

6. В открывшемся окне на вкладке Политика включите Настроить следующие события аудита и выберите Успех.

7. Нажмите Применить и OK.

8. В папке Политики аудита перейдите в Вход учетной записи.

9. Дважды кликните по Аудит службы проверки подлинности Kerberos и повторите действия из пункта 6.

10. Повторите пункты 8 и 9 для Аудита операций с билетами службы Kerberos.

Для обновления политик контроллера домена, в терминале выполните команду gpupdate /force.

Если авторизация пользователей при входе в систему не происходит, проверьте в журнале безопасности наличие событий 4768, 4769, 4624. Чтобы просмотреть журнал, воспользуйтесь встроенным приложением Просмотр событий (Event Viewer). Находится в меню Пуск -> Просмотр событий.

Настройка клиентских машин для веб-аутентификации (SSO или NTLM)

Для работы аутентификации через веб-браузер с использованием Kerberos или NTLM настройте Internet Explorer (остальные браузеры подхватят его настройки).

Обязательно используйте настройки веб-аутентификации, т. к. в некоторых случаях будет необходима аутентификация пользователей через браузер (даже при авторизации через журнал безопасности).

Причины:

Логи NTLM обычно содержат только имя пользователя, IP-адрес и время входа и не содержат всей информации, необходимой для полноценной авторизации: группы безопасности, права доступа и другие атрибуты пользователя;
Любые проблемы с журналом, такие как повреждение, потеря данных или задержки в записи, могут привести к проблемам с авторизацией;
Авторизация только на основе логов может быть менее безопасной, так как логи могут быть подделаны или изменены злоумышленниками;
Логи могут быть записаны с задержкой, и трудно гарантировать, что все данные актуальны и согласованы в любой момент времени;
Авторизация на основе логов может потребовать сложной логики для обработки и анализа логов, что может увеличить вероятность ошибок и затруднить поддержку;
Использование только логов может не обеспечить полную интеграцию с Active Directory и привести к ограниченным возможностям управления и настройки прав доступа.

Для настройки аутентификации через веб-браузер выполните следующие действия:

1. В поиск введите Изменение параметров временных файлов Интернета.

2. В открывшемся окне перейдите на вкладку Безопасность.

3. Выберите Местная интрасеть -> Сайты.

4. Добавьте в открывшемся окне ссылку на Ideco NGFW под тем именем, под которым ввели его в домен. Нужно указывать два URL: c http:// и с https://.

Пример ввода Ideco NGFW в домен example.ru под именем idecoics:

Для применения настройки ко всем пользователям на клиентской машине выполните действия:

1. Откройте Редактор локальной групповой политики. Это можно сделать, нажав клавиши Win + R и введя в появившемся окне команду gpedit.msc.

2. Перейдите по пути:

Англоязычная версия

Local Group Policy Editor -> User Configuration -> Administrative Templates -> Windows Components -> Internet Explorer -> Internet Control Panel -> Security Page -> Site to Zone Assignment List.

Русскоязычная версия

Политика "Локальный компьютер" -> Конфигурация пользователя -> Административные шаблоны -> Компоненты Windows -> Internet Explorer -> Панель управления браузером -> Вкладка «Безопасность» -> Список назначений зоны для веб-сайтов.

3. Введите назначение зоны для DNS-имени Ideco NGFW (в примере idecoics.example.ru) со значением 1 (интрасеть). Укажите два назначения для схем работы по http и https:

При входе на HTTPS-сайт необходимо разрешить браузеру доверять сертификату Ideco NGFW. Чтобы не делать это каждый раз, можно добавить корневой сертификат Ideco NGFW в доверенные корневые сертификаты устройства.

Настройка браузера Mozilla Firefox для веб-аутентификации по SSO или NTLM

Для использования браузера Mozilla Firefox на странице настроек (введите about:config в адресной строке) укажите следующие параметры:

network.automatic-ntlm-auth.trusted-uris и network.negotiate-auth.trusted-uris добавьте адрес локального интерфейса Ideco NGFW (например, idecoUTM.example.ru);
security.enterprise_roots.enabled в значении true позволит Firefox доверять системным сертификатом и авторизовать пользователей при переходе на HTTPS-сайты.

Способы аутентификации импортированных пользователей:

Через Ideco Agent - подходит для аутентификации пользователей терминальных серверов (с использованием Remote Desktop IP Virtualization на терминальном сервере);
Авторизация по IP-адресу - подходит для пользователей с фиксированным IP-адресом. IP-адреса на NGFW необходимо прописать вручную каждому пользователю;
Авторизация по VPN - подходит для аутентификации пользователей удаленных сетей.

Настройка аутентификации пользователей при прямых подключениях к прокси-серверу

Настройка прозрачной аутентификации пользователей при прямых подключениях к прокси-серверу аналогична настройке прозрачной SSO-аутентификации. Единственная особенность - указание в качестве адреса прокси-сервера DNS-имени Ideco NGFW.

При прямых подключениях к прокси не указывайте в качестве шлюза IP-адрес Ideco NGFW.

Настройка браузера Mozilla Firefox для аутентификации по NTLM при прямом подключении к прокси-северу

Для аутентификации компьютеров, которые не находятся в домене, под доменным пользовательским аккаунтом на странице настроек браузера Mozilla Firefox (введите about:config в адресной строке) укажите следующие параметры:

network.automatic-ntlm-auth.allow-proxies = false;
network.negotiate-auth.allow-proxies = false.

Не отключайте эти опции для компьютеров, входящих в домен, т. к. в таком случае будет использоваться устаревший метод авторизации по NTLM.

Возможные проблемы

Если в Internet Explorer появляется окно с текстом Для получения доступа требуется аутентификация и аутентификация происходит только при ручном переходе по ссылке, установите параметр Активные сценарии в Internet Explorer в значение Включить:

Доменному пользователю должно быть разрешено аутентифицироваться на Ideco NGFW. На контроллере домена зайдите в свойства выбранных пользователей на вкладку Учетная запись -> Вход на..., выберите пункт только на указанные компьютеры и пропишите имя рабочей станции для входа в систему.

Пример такой настройки представлен на скриншоте ниже:

PreviousВвод сервера в домен NextСкрипты автоматической разавторизации

Last updated 1 day ago