Настройка клиентских машин

В статье описано как настроить клиентские машины для веб-аутентификации по SSO или NTLM.

Для работы аутентификации через веб-браузер с использованием Kerberos или NTLM настройте Internet Explorer (остальные браузеры подхватят его настройки).

Обязательно используйте настройки веб-аутентификации, т. к. в некоторых случаях будет необходима аутентификация пользователей через браузер (даже при авторизации через журнал безопасности).

Причины:

Логи NTLM обычно содержат только имя пользователя, IP-адрес и время входа и не содержат всей информации, необходимой для полноценной авторизации: группы безопасности, права доступа и другие атрибуты пользователя;
Любые проблемы с журналом, такие как повреждение, потеря данных или задержки в записи, могут привести к проблемам с авторизацией;
Авторизация только на основе логов может быть менее безопасной, так как логи могут быть подделаны или изменены злоумышленниками;
Логи могут быть записаны с задержкой, и трудно гарантировать, что все данные актуальны и согласованы в любой момент времени;
Авторизация на основе логов может потребовать сложной логики для обработки и анализа логов, что может увеличить вероятность ошибок и затруднить поддержку;
Использование только логов может не обеспечить полную интеграцию с Active Directory и привести к ограниченным возможностям управления и настройки прав доступа.

Для настройки аутентификации через веб-браузер выполните действия:

1. В поиск введите Изменение параметров временных файлов Интернета.

2. В открывшемся окне перейдите на вкладку Безопасность.

3. Выберите Местная интрасеть -> Сайты.

4. Добавьте в открывшемся окне ссылку на Ideco NGFW под тем именем, под которым ввели его в домен. Нужно указывать два URL: c http:// и с https://.

Пример ввода Ideco NGFW в домен example.ru под именем idecoics:

Для применения настройки ко всем пользователям на клиентской машине выполните действия:

1. Откройте Редактор локальной групповой политики. Это можно сделать, нажав клавиши Win + R и введя в появившемся окне команду gpedit.msc.

2. Перейдите по пути:

Англоязычная версия

Local Group Policy Editor -> User Configuration -> Administrative Templates -> Windows Components -> Internet Explorer -> Internet Control Panel -> Security Page -> Site to Zone Assignment List.

Русскоязычная версия

Политика "Локальный компьютер" -> Конфигурация пользователя -> Административные шаблоны -> Компоненты Windows -> Internet Explorer -> Панель управления браузером -> Вкладка «Безопасность» -> Список назначений зоны для веб-сайтов.

3. Введите назначение зоны для DNS-имени Ideco NGFW (в примере idecoics.example.ru) со значением 1 (интрасеть). Укажите два назначения для схем работы по http и https:

При входе на HTTPS-сайт необходимо разрешить браузеру доверять сертификату Ideco NGFW. Чтобы не делать это каждый раз, можно добавить корневой сертификат Ideco NGFW в доверенные корневые сертификаты устройства.

Настройка браузера Mozilla Firefox для веб-аутентификации по SSO или NTLM

Для использования браузера Mozilla Firefox на странице настроек (введите about:config в адресной строке) укажите следующие параметры:

network.automatic-ntlm-auth.trusted-uris и network.negotiate-auth.trusted-uris добавьте адрес локального интерфейса Ideco NGFW (например, idecoUTM.example.ru);
security.enterprise_roots.enabled в значении true позволит Firefox доверять системным сертификатом и авторизовать пользователей при переходе на HTTPS-сайты.

Способы аутентификации импортированных пользователей:

Через Ideco Client - подходит для аутентификации пользователей терминальных серверов (с использованием Remote Desktop IP Virtualization на терминальном сервере);
Авторизация по IP-адресу - подходит для пользователей с фиксированным IP-адресом. IP-адреса на NGFW необходимо прописать вручную каждому пользователю;
Авторизация по VPN - подходит для аутентификации пользователей удаленных сетей.

Настройка аутентификации пользователей при прямых подключениях к прокси-серверу

Настройка прозрачной аутентификации пользователей при прямых подключениях к прокси-серверу аналогична настройке прозрачной SSO-аутентификации. Единственная особенность - указание в качестве адреса прокси-сервера DNS-имени Ideco NGFW.

При прямых подключениях к прокси не указывайте в качестве шлюза IP-адрес Ideco NGFW.

Настройка браузера Mozilla Firefox для аутентификации по NTLM при прямом подключении к прокси-северу

Для аутентификации компьютеров, которые не находятся в домене, под доменным пользовательским аккаунтом на странице настроек браузера Mozilla Firefox (введите about:config в адресной строке) укажите следующие параметры:

network.automatic-ntlm-auth.allow-proxies = false;
network.negotiate-auth.allow-proxies = false.

Не отключайте эти опции для компьютеров, входящих в домен, т. к. в таком случае будет использоваться устаревший метод авторизации по NTLM.

Возможные проблемы

Если в Internet Explorer появляется окно с текстом Для получения доступа требуется аутентификация и аутентификация происходит только при ручном переходе по ссылке, установите параметр Активные сценарии в Internet Explorer в значение Включить:

Доменному пользователю должно быть разрешено аутентифицироваться на Ideco NGFW. На контроллере домена зайдите в свойства выбранных пользователей на вкладку Учетная запись -> Вход на..., выберите пункт только на указанные компьютеры и пропишите имя рабочей станции для входа в систему.

Пример такой настройки представлен на скриншоте ниже:

PreviousНастройка сервера Active Directory NextАвторизация пользователей

Last updated 2 days ago

Was this helpful?