Интеграция с Active Directory/Samba DC
В Ideco NGFW реализована возможность односторонней синхронизации с доменом на базе Microsoft Active Directory (AD) и Samba DC.
Название службы раздела Active Directory/Samba DC: ideco-ad-backend
; ideco-ad-log-collector@<имя домена>
.
Список служб для других разделов доступен по ссылке.
При интеграции импортируются учетные записи и номера телефонов пользователей, исключая пароли. При аутентификации пользователей проверка осуществляется средствами Active Directory или Samba DC соответственно.
Если в таблице большое количество интеграций, воспользуйтесь кнопкой Фильтры.
Поддерживаемые контроллеры домена:
Windows Server 2008 (только R2), 2012, 2016, 2019, 2022;
Samba DC с версии 4.0.
При выходе из домена удаляются все пользователи и группы, импортированные из него.
Синхронизация с контроллером домена приостанавливается, если локальные пользователи Ideco NGFW находятся в группах AD. Для возобновления синхронизации вынесите локальных пользователей из групп AD. Автоматическая синхронизация произойдет через 15 минут.
Если на контроллере домена отключить пользователя, который уже импортирован в группу AD, то после включения ему присвоится новый ID и ранее настроенные правила фильтрации перестанут работать.
Особенности использования интеграции с несколькими контроллерами домена
Ограничения при интеграции Ideco NGFW с несколькими контроллерами доменами:
Из дерева контроллеров домена в Ideco NGFW импортируются данные только того контроллера, для которого был запущен импорт пользователей;
При импорте пользователей из разных доменов необходимо убедиться, что учетные записи не имеют одинаковых логинов. В противном случае система выдаст сообщение об ошибке;
При SSO-авторизации и первом открытии браузера пользователю будет предложен выбор домена для аутентификации. Выбор будет сохранен с помощью cookie и будет использован при следующей авторизации. Если требуется изменить домен, очистите cookie (для локального IP-адреса Ideco NGFW).
Настройка учетных записей и групп безопасности в качестве объектов правил фильтрации
Импортированные из AD/Samba группы безопасности и учетные записи можно использовать в качестве объектов правил фильтрации в разделах:
Пример настройки фильтрации при импорте из AD:
1. Импортируйте из AD учетные записи или группы безопасности в разделе Пользователи -> Учетные записи (подробнее в статье Импорт пользователей). В этом примере импортируется группа безопасности AD Пользователи домена:
2. Перейдите в раздел, в котором требуется использовать импортированную из AD группу или учетную запись. Например, в Ограничение скорости:
3. Заполните требуемые поля и нажмите Добавить.
Last updated