Аутентификация пользователей AD/Samba DC
Приостанавливается синхронизация с контроллером домена, если локальные пользователи Ideco NGFW находятся в группах AD. Для возобновления синхронизации вынесите локальных пользователей из групп AD. Автоматическая синхронизация произойдет через 15 минут.
Настройка авторизации пользователей
Для пользователей, имортированных из Aсtive Directory, доступны все типы авторизации.
Рекомендуется одновременно использовать оба типа авторизации.
Для пользователей, импортированных из Samba, доступны все типы авторизации, кроме авторизации через журнал безопасности.
Если на контроллере домена отключить пользователя, который уже импортирован, то после включения ему присвоится новый ID и ранее настроенные правила фильтрации перестанут работать.
Если у домена, в который введен NGFW, настроено доверие с другим доменом, то пользователи доверенного домена смогут авторизоваться на NGFW при выполнении условий:
Для аутентификации пользователей домена используется SSO-аутентификация;
Пользователь доверенного домена должен быть в локальной группе AD на контроллере домена, и эта группа должна быть импортирована на NGFW.
После авторизации пользователи доверенного домена будут добавлены в группу AD Пользователи из доверенных доменов в дереве пользователей NGFW.
Настройка Ideco NGFW
Для включения SSO аутентификации и Авторизации через журнал безопасности Active Directory перейдите на вкладку Пользователи -> Авторизация -> Основное и включите эти типы авторизации. Нажмите кнопку Сохранить.
После заполнения поля Доменное имя Ideco NGFW и сохранения настроек будет выдан Let’s Encrypt сертификат, пользователь будет перенаправляться на окно авторизации, минуя страницу исключения безопасности:
Если сертификат для такого домена уже загружен в разделе Сертификаты, то будет использоваться загруженный сертификат, новый сертификат выдаваться не будет.
Настройка сервера Microsoft Active Directory
Авторизация через журнал безопасности Active Directory:
При аутентификации через журнал безопасности контроллера домена AD пользователи будут аутентифицированы при попытке выхода в интернет. Автоматической аутентификации без прохождения трафика через NGFW не происходит, т. к. используется конкурентная политика аутентификации.
Для работы авторизации через журнал безопасности выполните настройку на основном контроллере домена:
1. В настройках брандмауэра Windows на всех контроллерах домена (или доменов) разрешите удаленное управление журналом событий (Remote Event Log Management):
2. Добавьте Ideco NGFW в группу безопасности Читатели журнала событий (Event Log Readers):
3. Перезапустите службу Авторизация через журнал безопасности Active Directory на Ideco NGFW. Отключите эту настройку и заново включите;
При изменении стандартной политики безопасности контроллеров домена выполните действия:
Англоязычная версия:
Русскоязычная версия:
Для обновления политик контроллеров доменов выполните gpupdate /force
;
Если авторизация пользователей при логине не происходит, нужно проверить в журнале безопасности наличие событий 4768, 4769, 4624.
Настройка клиентских машин для веб-аутентификации (SSO или NTLM)
Для работы аутентификации через веб-браузер (с использованием Kerberos или NTLM) настройте Internet Explorer (остальные браузеры подхватят его настройки).
Обязательно используйте настройки веб-аутентификации, т. к. в некоторых случаях будет необходима аутентификация пользователей через браузер (даже при авторизации через журнал безопасности).
Причины:
Логи NTLM обычно содержат только имя пользователя, IP-адрес и время входа и не содержат всей информации, необходимой для полноценной авторизации: группы безопасности, права доступа и другие атрибуты пользователя.
Любые проблемы с журналом, такие как повреждение, потеря данных или задержки в записи, могут привести к проблемам с авторизацией.
Авторизация только на основе логов может быть менее безопасной, так как логи могут быть подделаны или изменены злоумышленниками.
Логи могут быть записаны с задержкой, и трудно гарантировать, что все данные актуальны и согласованы в любой момент времени.
Авторизация на основе логов может потребовать сложной логики для обработки и анализа логов, что может увеличить вероятность ошибок и затруднить поддержку.
Использование только логов может не обеспечить полную интеграцию с Active Directory и привести к ограниченным возможностям управления и настройки прав доступа.
Для настройки аутентификации через веб-браузер выполните следующие действия:
1. Зайдите в свойства браузера на вкладку Безопасность.
2. Выберите Местная интрасеть -> Сайты -> Дополнительно.
3. Добавьте в открывшемся окне ссылку на Ideco NGFW под тем именем, под которым ввели его в домен. Нужно указывать два URL: c http://
и с https://
.
Пример введения Ideco NGFW в домен example.ru
под именем idecoics
.
Для применения настройки ко всем пользователям на клиентской машине выполните действия:
1. Перейдите по пути:
2. Введите назначение зоны для DNS-имени Ideco NGFW (в примере idecoics.example.ru) со значением, равным 1 (интрасеть). Укажите два назначения для схем работы по http и https:
При входе на HTTPS-сайт необходимо разрешить браузеру доверять сертификату Ideco NGFW. Чтобы не делать это каждый раз, можно добавить корневой сертификат Ideco NGFW в доверенные корневые сертификаты устройства.
На странице настроек браузера Mozilla Firefox (about:config в адресной строке) настройте следующие параметры:
network.automatic-ntlm-auth.trusted-uris и network.negotiate-auth.trusted-uris добавьте адрес локального интерфейса Ideco NGFW (например,
idecoUTM.example.ru
);security.enterprise_roots.enabled в значении
true
позволит Firefox доверять системным сертификатом и авторизовать пользователей при переходе на HTTPS-сайты.
Способы аутентификации импортированных пользователей:
Через Ideco Agent - подходит для аутентификации пользователей терминальных серверов (с использованием Remote Desktop IP Virtualization на терминальном сервере);
Авторизация по IP-адресу - подходит для пользователей с фиксированным IP-адресом. IP-адреса на NGFW необходимо прописать вручную каждому пользователю;
Авторизация по VPN - подходит для аутентификации пользователей удаленных сетей.
Настройка аутентификации пользователей при прямых подключениях к прокси-серверу
Настройка прозрачной аутентификации пользователей при прямых подключениях к прокси-серверу аналогична настройке прозрачной SSO аутентификации. Единственная особенность - указание в качестве адреса прокси-сервера DNS-имени Ideco NGFW.
При прямых подключениях к прокси не указывайте в качестве шлюза IP-адрес Ideco NGFW.
Last updated