Авторизация пользователей

Настройка авторизации пользователей

Для пользователей, импортированных из Active Directory, доступны все типы авторизации пользователей. Наиболее часто используемый вариант авторизации пользователей - Single Sign-On аутентификация через Active Directory - с использованием Kerberos/NTLM для авторизации через веб-браузер и логов контроллера домена (рекомендуется одновременное использование обоих типов авторизации). Необходимые настройки Ideco UTM и политик Active Directory описаны в данной статье.

Настройка Ideco UTM

Включите данный тип авторизации на вкладке Сервисы -> Авторизация пользователей -> Включить веб-авторизацию -> Single Sign-On аутентификация через Active Directory. И нажмите кнопку Сохранить.

На вкладке Сервер -> Active Directory установите флажок Разрешить авторизацию по логам.

Настройка компьютеров пользователей и политик домена

Авторизация по логам контроллера домена AD

Поддерживается начиная с версии контроллера домена 2008 standard edition и UTM 7.6.

Для работы авторизации по логам безопасности необходимо выполнить настройку на основном контроллере домена:

В настройках брандмауэра Windows на всех контроллерах домена (или доменов) разрешить удаленный доступ к логам безопасности.

Добавить Ideco UTM в группу безопасности Читатели журнала событий (Event Log Readers).

После настройки доступа к логам, необходим перезапуск службы авторизации по логам на Ideco UTM, для этого снимите и снова установите флажок Разрешить авторизацию по логам, на вкладке Сервисы -> Active Directory.
Если вы изменяли политики безопасности контроллеров домена по сравнению со стандартными, то нужно включить логирование в политиках безопасности, нужно активировать следующий параметр: Default Domain Controllers Policy -> Computer Configuration -> Policies -> Windows Settings -> Security Settings -> Advanced Audit Policy Configuration -> Audit Policies -> Logon/Logoff -> Audit Logon -> Success.
Также необходимо включить следующие параметры: Default Domain Controllers Policy -> Computer Configuration->Policies->Windows Settings->Security Settings-> Advanced Audit Policy Configuration -> Audit Policies -> Account login -> "Аудит службы проверки подлинности Kerberos" и "Аудит операций билета службы керберос" ->Success.
Для обновления политик контроллеров доменов нужно выполнить команду: gpupdate /force.
Если авторизация пользователей при логине не происходит, нужно проверить в журнале безопасности наличие событий 4768, 4769, 4624

Веб-авторизация (SSO или NTLM)

Для работы авторизации через веб-браузер (с использованием Kerberos либо NTLM) необходима настройка Internet Explorer (остальные браузеры подхватывают его настройки). Обязательно используйте эти настройки, даже если обычно пользователи авторизуются по логам безопасности, в некоторых случаях будет необходима их авторизация браузером:

Зайдите в свойства браузера на вкладку Безопасность.
Выберите Местная интрасеть и нажмите кнопку Сайты.
В открывшемся окне нажмите кнопку Дополнительно.
Добавьте в открывшемся окне ссылку на Ideco UTM под тем именем, под которым вы ввели его в домен. На примере: Ideco UTM введен в домен example.ru под именем idecoUTM.
Нужно указывать два URL: c http:// и с https://.

Также данную настройку можно сделать с помощью групповых политик Active Directory сразу же для всех пользователей. В групповых политиках для пользователей нужно настроить:

Конфигурация пользователя - Политики - Административные шаблоны - Компоненты Windows - Internet Explorer - Панель управления браузером - Вкладка безопасность - Список назначений зоны для веб-сайтов. Введите назначение зоны для DNS-имени Ideco UTM (в примере idecoUTM.example.ru) значение 1 (интрасеть). Необходимо указать два значения, для схем работы по http и https:

При входе на HTTPS-сайт, для авторизации необходимо разрешить браузеру доверять сертификату Ideco UTM (чтобы не делать это каждый раз, можно добавить корневой сертификат Ideco UTM в доверенные корневые сертификаты устройства. Например, с помощью политик домена. Можно использовать скрипты для автоматической авторизации пользователей при логине.

Для браузера Mozilla Firefox в about:config требуются настроить два параметра: network.automatic-ntlm-auth.trusted-uris и network.negotiate-auth.trusted-uris, добавив в них адрес локального интерфейса Ideco UTM (например idecoUTM.example.ru). Параметр security.enterprise_roots.enabled в значении true позволит Firefox-у доверять системным сертификатом и авторизовать пользователей при переходе на HTTPS-сайты.

Настройте about:config в firefox следующим образом: security.enterprise_roots.enabled = true network.automatic-ntlm-auth.trusted-uris = Доменное имя Ideco UTM в вашей сети, например idecoUTM.example.ru network.negotiate-auth.trusted-uris = Доменное имя Ideco UTM в вашей сети, например idecoUTM.example.ru

Также для пользователей, импортированных через AD, возможны все способы авторизации:

Авторизация через Ideco Agent - подходит для авторизации пользователей терминальных серверов (с использованием Remote Desktop IP Virtualization на терминальном сервере).
Авторизация по IP-адресу - подходит в случае, если пользователи всегда работают с фиксированных IP-адресов. IP-адреса на UTM необходимо прописывать вручную каждому пользователю.
Авторизация по PPTP - если в сети предъявляются повышенные требования к конфиденциальности информации, передаваемой между шлюзом и устройствами пользователей, или используется слабо защищенный от перехвата трафика WiFi.

Настройка авторизации пользователей при прямых подключениях к прокси-серверу

Настройка прозрачной авторизации пользователей при прямых подключениях к прокси-серверу аналогична настройке прозрачной Single Sign-On авторизации, описанной выше в инструкции.

Единственной особенностью является необходимость указания в качестве адреса прокси-сервера не IP-адреса Ideco UTM, а его DNS-имени.

Настройка браузера Mozilla Firefox для авторизации по NTLM при прямом подключении к прокси-северу на UTM

Для компьютеров, которые не находятся в домене Active Directory, в случае необходимости их авторизации под доменным пользовательским аккаунтом в браузере Firefox необходимы следующие его настройки:

на странице настроек браузера (about:config в адресной строке) установите следующим параметрам значение false:network.automatic-ntlm-auth.allow-proxies network.negotiate-auth.allow-proxies

Не отключайте данные опции для компьютеров, входящих в домен Active Directory, т.к. в таком случае будет использоваться устаревший метод авторизации по NTLM.

Возможные ошибки авторизации

Если пользователь видит окно Internet Explorer с текстом Для получения доступа требуется аутентификация и авторизация происходит только при ручном переходе по ссылке на авторизацию, значит по каким-то причинам не происходит редирект в браузере на страницу авторизации (он может быть ограничен настройками безопасности браузера). Параметр Активных сценариев в Internet Explorer должен быть установлен в значение Включить:

Доменному пользователю должно быть разрешено авторизоваться на Ideco UTM (введенном в домен под выбранным при входе в домен именем), в случае, если вы ограничиваете возможность авторизации пользователей избранными компьютерами.

При авторизации по логам безопасности контроллера домена Active Directory пользователи будут авторизованы при попытке выхода в Интернет (любым трафиком), после их логина на компьютере. Автоматической авторизации без прохождения трафика через UTM не
происходит, т.к. используется конкурентная политика авторизации. При этом "лишние" лицензии заняты не будут.

PreviousИмпорт пользователей NextСкрипты автоматической авторизации/разавторизации

Last updated 3 years ago