Ideco UTM
Search…
v12
Популярные инструкции и диагностика проблем
Скрипты автоматической авторизации и разавторизации.
Авторизация и разавторизация пользователей возможна в полностью автоматическом режиме.
Для этого нужно настроить скрипты, исполняемые при входе пользователей в систему logon и выходе пользователей из системы logout. Это можно сделать, например, с помощью групповых политик домена (GPO).
Для работы данных скриптов необходимо выполнить все настройки политик безопасности домена и браузера, описанные в статье Авторизация пользователей.

Авторизация пользователя

Необходимо добавить скрипт в сценарии, выполняемые при входе в систему.
UTMLogon_script.vbs
1
Dim IE
2
Set IE = CreateObject("InternetExplorer.Application")
3
IE.Visible = True
4
IE.Fullscreen = False
5
IE.Toolbar = False
6
IE.StatusBar = False
7
Wscript.Sleep(3000)
8
IE.Navigate2("http://ya.ru")
9
Wscript.Sleep(20000)
10
IE.Quit
Copied!

Разавторизация пользователя

Удобно применять этот скрипт, когда один компьютер используют разные пользователи для посещения ресурсов сети Интернет. Данный скрипт можно скачать из веб-интерфейса, нажав кнопку Скачать скрипт для разавторизации. Для этого в разделе Пользователи -> Авторизация, установите галку Веб-аутентификация:
Для работы скрипта разавторизации пользователя необходима установка сертификата сервера в качестве доверенного корневого центра сертификации на компьютеры пользователей. Можно сделать это локально или через групповые политики домена, как описано в инструкции.
Также необходимо отключить предупреждение о несоответствии адреса сертификата в свойствах Internet Explorer:
Этот параметр также можно установить через GPO, изменив параметр реестра:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings параметр WarnonBadCertRecving = 0
Далее необходимо добавить скрипт, выполняемый при выходе пользователя из системы:
UTMLogout_script.vbs
1
add-type @"
2
using System.Net;
3
using System.Security.Cryptography.X509Certificates;
4
public class TrustAllCertsPolicy : ICertificatePolicy {
5
public bool CheckValidationResult(
6
ServicePoint srvPoint, X509Certificate certificate,
7
WebRequest request, int certificateProblem) {
8
return true;
9
}
10
}
11
"@
12
13
[System.Net.ServicePointManager]::CertificatePolicy = New-Object TrustAllCertsPolicy
14
[Net.ServicePointManager]::SecurityProtocol = "tls12, tls11, tls"
15
Invoke-RestMethod -Uri "https://<utm ip-adress>:8443/auth/sessions/logout" -Method Delete
Copied!
Вместо «UTM ip-address» нужно указать IP-адрес локального интерфейса Ideco UTM. При наличии на Ideco UTM нескольких локальных интерфейсов, необходимо указать IP-адрес локального интерфейса из той же подсети, что и компьютер пользователя.

Возможные ошибки при выполнении скриптов

  • Если в Internet Explorer появляется окно с текстом Для получения доступа требуется аутентификация, и авторизация происходит только при ручном переходе по ссылке на авторизацию, то переход в браузере на страницу авторизации может не произойти (он может быть ограничен настройками безопасности браузера). В таком случае, установите параметр Активные сценарии в Internet Explorer в значение Включить.
  • Автоматически групповая политика обновляется не сразу после внесения изменений. Чтобы скрипты начали работать, обновите политику вручную командой gpupdate /force на рабочей станции.