Сервер авторизации Active Directory позволяет:
* Синхронизовать пользователей Active Directory с локальной базой пользователей. Синхронизированные пользователи и группы могут быть использованыпри настройке правил фильтрации
* Осуществлять авторизацию синхронизованных пользователей через домены Active Directory
Для создания сервера авторизации Active Directory необходимо нажать на кнопку Добавить, выбрать Добавить AD-сервер и указать следующие параметры:
|
Наименование |
Описание |
|
Включен |
Включает или отключает использование данного сервера авторизации |
|
Название |
Название сервера авторизации |
|
Использовать для соединений SSL |
Определяет, требуется ли SSL-соединение для подключения к контроллеру домена Active Directory |
|
Интервал синхронизации |
UserGate UTM будет инициировать синхронизацию с заданным здесь интервалом. При синхронизации обновляются только измененные в Active Directory учетные записи. Интервал, рекомендуемый для большинства случаев, -- 3600 секунд |
|
Интервал повторения |
Время, по происшествии которого UserGate UTM будет инициировать повторную попытку соединения с сервером Active Directory после неудачно завершенной предыдущей попытки. Рекомендуемое значение -- 300 секунд |
|
Bind DN («login») |
Имя пользователя, которое необходимо использовать для подключения к серверу Active Directory. Имя необходимо использовать в формате DOMAIN\username или username@domain. Данный пользователь уже должен быть заведен в домене |
|
Пароль |
Пароль пользователя для подключения к домену |
|
Сервер |
Список IP-адресов контроллеров домена Active Directory. В случае леса доменов или дерева доменов необходимо указывать IP-адреса контроллеров домена, выполняющих функцию Глобального Каталога |
|
Корневые пути |
Список путей в Active Directory, начиная с которых система будет осуществлять синхронизацию пользователей и групп. Необходимо указывать полное имя, например, ou=Office,dc=example,dc=com |
После создания сервера необходимо проверить корректность параметров, кликнув на кнопку Проверить соединение. Если параметры указаны верно, система сообщит об этом либо укажет на причину невозможности соединения.
После успешной настройки сервера в разделе Группы должны появиться доменные записи. Пользователи автоматически не импортируются в раздел Пользователи. Рекомендуется настраивать политики фильтрации, межсетевого экрана и другие, используя группы AD и локальные группы. Если требуется использовать конкретных пользователей, то их следует добавить вручную, используя кнопку Импортировать из AD. После импорта эти пользователи появятся в списке пользователей, им можно будет указать статические адреса (если необходимо) и использовать в политиках управления сетью.
Синхронизация пользователей закончена. Для авторизации синхронизированных пользователей можно использовать идентификацию по IP-адресу (для этого каждому синхронизируемому пользователю необходимо прописать IP-адрес) либо использовать идентификацию по имени и паролю, для чего необходимо создать правила Captive-портала. Более подробно о Captive-портале рассказывается в следующих главах руководства.