Авторизация Kerberos позволяет прозрачно (без запроса имени пользователя и его пароля) авторизовать пользователей домена Active Directory, то есть настроить Single Sign On (SSO). При авторизации через Kerberos сервер UserGate UTM работает с контроллерами домена, которые сообщают ему имя пользователя, который получает доступ в интернет.
Аналогично серверам авторизации Radius сервер Kerberos не может предоставить список пользователей в UserGate UTM и, если пользователи не были заведены в UTM предварительно (например, как локальные пользователи или синхронизацией с доменом AD), то в политиках фильтрации можно использовать только пользователей типа Known (успешно прошедших авторизацию Kerberos) или Unknown (не прошедших авторизацию).
Для авторизации Kerberos необходимо выполнить следующие действия:
|
Наименование |
Описание |
|
Шаг 1. Настроить DNS-серверы на UTM |
В настройках UTM в качестве системных DNS-серверов указать IP-адреса контроллеров домена |
|
Шаг 2. Настроить синхронизацию времени с контроллером домена |
В настройках UTM включить синхронизацию времени с серверами NTP в качестве основного и (опционально) запасного NTP-серверов указать IP-адреса контроллеров домена |
|
Шаг 3. Создать DNS-запись сервера UTM |
На контроллере домена создать DNS-запись, соответствующую машине с UserGate UTM, например, utm.domain.loc |
|
Шаг 4. Создать пользователя для сервера UTM |
Создать пользователя в домене AD, например, utm@domain.loc с опцией "password never expires" Важно! Не используйте символы национальных алфавитов, например, кириллицу, в именах пользователя utm или в организационных единицах Active Directory, где вы планируете создать учетную запись пользователя utm Важно! Не используйте в качестве пользователя для Kerberos пользователя, созданного ранее для работы LDAP-коннектора. Необходимо создать дополнительную учетную запись |
|
Шаг 5. Создать keytab файл |
На контроллере домена создать keytab файл, выполнив следующую команду из под администратора (команда в одну строку!): ktpass.exe /princ HTTP/utm.domain.loc@DOMAIN.LOC /mapuser utm@DOMAIN.LOC /crypto ALL /ptype KRB5_NT_PRINCIPAL /pass * /out C:\utm.keytab Важно! Команда чуствительна к регистру букв. В данном примере: |
|
Шаг 6. Создать сервер авторизации типа Kerberos |
Создать сервер авторизации типа Kerberos, дать ему название и загрузить полученный на предыдущем шаге keytab-файл |
|
Шаг 7. Создать правило Captive-портала с авторизацией Kerberos |
Настроить Captive-портал для использования метода авторизации Kerberos. Более подробно о Captive-портале рассказывается в следующих главах руководства |
|
Шаг 8. Разрешить доступ к сервису HTTP(S) для зоны |
В разделе Зоны разрешить доступ к сервису HTTP(S)-прокси для зоны, к которой подключены пользователи, авторизующиеся с помощью Kerberos |
|
Шаг 9. Настроить прокси-сервер на компьютерах пользователей |
На компьютерах пользователей указать обязательное использование прокси-сервера в виде FQDN-имени UTM, например, utm.domain.loc, порт 8090 |