Импорт пользователей

Ideco NGFW также поддерживает интеграцию с AD-администраторами. Подробные инструкции по настройке описаны в статье Администраторы.

Импортировать группы пользователей контроллера домена можно в специально созданные группы пользователей в Ideco NGFW. Их название может быть произвольным.

Импорт учетных записей из LDAP-каталога

В Ideco NGFW можно импортировать учетные записи из LDAP-каталога. Для этого используются протоколы LDAP и LDAPS. При этом последний не требует дополнительных настроек на стороне NGFW и используется автоматически в случае использования его на контроллере домена.

Для импорта пользователей выполните действия:

1. Создайте группу в дереве пользователей Ideco NGFW. Подробнее о создании групп - в статье Управление пользователями.

2. Выберите эту группу в дереве и перейдите на вкладку Active Directory/Samba DC в правой части экрана.

3. Выберите домен, из которого требуется импортировать пользователей.

4. В поле Тип группы выберите LDAP/AD группа.

5. При нажатии на поле LDAP группа будет отображен либо весь домен, либо группы, которые были указаны при вводе NGFW в домен. Выберите из него необходимую группу для импорта (можно выбрать корневую группу для импорта всего дерева).

6. Нажмите Сохранить (будет произведен импорт пользователей).

При необходимости воспользуйтесь фильтром запросов. Например, если в одних и тех же контейнерах находятся пользователи и компьютеры, а импортировать нужно только пользователей, то в поле LDAP-фильтр напишите: (&(objectCategory=person)(objectClass=user))

Не стоит импортировать подгруппы уже импортированной группы, потому что они автоматически будут импортированы вместе с основной группой.

Импорт учетных записей из групп безопасности

1. Создайте группу в дереве пользователей Ideco NGFW.

2. Выберите эту группу в дереве и перейдите на вкладку Active Directory/Samba DC.

3. В поле Имя домена выберите нужный домен.

4. В поле Тип группы выберите Группа безопасности AD.

5. В поле ниже из раскрывающегося списка выберите нужную группу безопасности.

6. Нажмите на кнопку Сохранить.

Если импортировались не все пользователи

Если импортировались не все пользователи, то включите режим совместимости. Важно: включенный режим совместимости импортирует пользователей медленнее.

Примеры включения через терминал и браузер:

Терминал

1. Авторизуйтесь командой:

curl -c /tmp/cookie -b /tmp/cookie -X POST https://адрес_сервера/web/auth/login -d '{"login": "логин", "password": "пароль", "rest_path": "/"}' -k

2. Отправьте запрос на включение режима:

curl -c /tmp/cookie -b /tmp/cookie -X PUT https://адрес_сервера/ad_backend/security_group_import_settings -d '{"compatibility_mode": true}' -i -k -H 'Content-type: application/json'

Браузер

1. Откройте веб-интерфейс Ideco NGFW и нажмите F12.

2. Перейдите на вкладку Сеть и нажмите на любой запрос.

3. В появившемся окне перейдите на вкладку Новый запрос.

4. Отправьте запрос авторизации:

POST https://адрес_сервера/web/auth/login

Тело запроса:

{
    "login": "логин", "password": "пароль", "rest_path": "/"
}

5. Отправьте запрос на включение режима:

PUT /ad_backend/security_group_import_settings

Тело запроса:

{
  "compatibility_mode": true
}

Для выключения режима совместимости в теле запроса вместо true укажите false.

Особенности при импорте пользователей в Ideco NGFW:

После импорта пользователи будут автоматически синхронизироваться с контроллером домена каждые 15 минут;
Можно импортировать разные группы пользователей контроллера домена в различные группы Ideco NGFW. Это позволит удобно назначать правила фильтрации для каждого модуля фильтрации;
Пользователи контроллера домена могут быть импортированы только в одну группу Ideco NGFW. При этом пользователь будет добавлен в группу, в которую был импортирован последним;
В процессе импорта пользователей также импортируются номера телефонов, которые можно использовать для двухфакторной аутентификации.

PreviousСкрипты автоматической разавторизации NextИнтеграция с RADIUS-сервером

Last updated 20 days ago