Captive-портал позволяет авторизовать неизвестных пользователей (Unknown users) с помощью методов авторизации с использованием каталогов Active Directory, Radius, Kerberos или локальной базы пользователей. Кроме этого, с помощью Captive-портала можно настроить самостоятельную регистрацию пользователей с подтверждением идентификации через SMS или Email.
Следует помнить, что:
* Идентифицированные пользователи, например, у которых явно в свойствах пользователя указан IP-адрес, идентифицированные с помощью агентов авторизации терминальных серверов или для систем Windows, не авторизуются на Captive-портале. Такие пользователи уже относятся к типу Known users и не требуют дополнительной идентификации
* Авторизация с помощью Captive-портала возможна только для протоколов HTTP и HTTPS. Например, если вы создали правило межсетевого экрана, разрешающее доступ в интернет по протоколу FTP только для пользователя Known users, то пользователи не смогут получить доступ в интернет по этому протоколу до тех пор, пока они не станут идентифицированными, то есть не запустят у себя браузер и не пройдут авторизацию на Captive-портале
* Если Captive-портал использует метод авторизации Active Directory, то пользователь должен указывать в качестве логина свое доменное имя в формате DOMAIN\username или username@domain
Настройка Captive-портала сводится к следующим шагам:
|
Наименование |
Описание |
|
Шаг 1. Создать метод авторизации, например, авторизация с помощью домена Active Directory |
В консоли UserGate UTM в разделе Пользователи и устройстваàСерверы авторизации нажать на кнопку Добавить и создать сервер авторизации |
|
Шаг 2. Создать Captive-профиль, в котором указать необходимые методы авторизации |
В консоли UserGate UTM в разделе Пользователи и устройстваàCaptive-профили нажать на кнопку Добавить и создать captive-профиль, используя созданный ранее метод авторизации |
|
Шаг 3. Создать правило Captive-портала |
В консоли UserGate UTM в разделе Пользователи и устройстваàCaptive-портал нажать на кнопку Добавить и создать правило captive-портала |
|
Шаг 4. Настроить DNS для доменов auth.captive и logout.captive |
Служебные доменные имена auth.captive и logout.captive используются UserGate UTM для авторизации пользователей. Если клиенты используют в качестве DNS-сервера сервер UTM, то ничего делать не надо. В противном случае необходимо прописать в качестве IP-адреса для этих доменов IP-адрес интерфейса сервера UTM, который подключен в клиентскую сеть. Альтернативное решение -- настроить параметры Домен Auth Captive-портала и Домен Logout Captive-портала. Более детально эти переметры описаны в разделе Настройки |
Создание методов авторизации подробно рассматривалось в предыдущих главах. Рассмотрим более подробно создание Captive-профиля и правил Captive-портала.
Чтобы создать Captive-профиль, необходимо в разделе Captive-профили нажать на кнопку Добавить и указать необходимые параметры:
|
Наименование |
Описание |
|
Название |
Название Captive-профиля |
|
Описание |
Описание Captive-профиля |
|
Шаблон страницы авторизации |
Выбрать шаблон страницы авторизации. Создавать страницы авторизации можно в разделе БиблиотекиàШаблоны страниц. Если необходимо настроить самостоятельную регистрацию пользователей с подтверждением по SMS или Email, то следует выбрать соответствующий тип шаблона (Captive portal: SMS auth/ Captive portal: Email auth) |
|
Метод идентификации |
Метод, с помощью которого UserGate UTM запомнит пользователя. Возможны 2 варианта: * Запоминать IP-адрес. После успешной авторизации пользователя через Captive-портал UserGate UTM запоминает IP-адрес пользователя, и все последующие соединения с этого IP-адреса будут относятся к данному пользователю. Данный метод позволяет идентифицировать данные, передаваемые по любому из протоколов семейства TCP/IP, но не будет корректно работать при наличии NAT-подключения между пользователями и сервером UserGate UTM. Это рекомендуемое значение, устанавливаемое по умолчанию. * Запоминать cookie. После успешной авторизации пользователя через Captive-портал UserGate UTM добавляет в браузер пользователя cookie, с помощью которого идентифицирует последующие соединения данного пользователя. Данный метод позволяет авторизовать пользователей, находящихся за NAT-устройством, но авторизуется только протокол HTTP/S и только в том браузере, в котором происходила авторизация через Captive-портал. Кроме этого, для авторизации HTTPS-сессий пользователя UserGate UTM будет принудительно дешифровать все HTTPS-соединения. Для правил межсетевого экрана пользователь, идентифицированный по cookie, будет всегда определен как Unknown- пользователь |
|
URL для редиректа |
URL, куда будет перенаправлен пользователь после успешной авторизации с помощью Captive-портала. Если не заполнено, то пользователь переходит на запрошенный им URL |
|
Время бездействия до отключения |
Данный параметр определяет, через сколько секунд UserGate UTM переведет пользователя из Known users в Unknown users при неактивности пользователя (отсутствии сетевых пакетов с IP-адреса пользователя) |
|
Время жизни авторизованного пользователя |
Данный параметр определяет, через сколько секунд UserGate UTM переведет пользователя из Known users в Unknown users. По прошествии указанного времени пользователю потребуется повторно авторизоваться на Captive-портале |
|
Число неудачных попыток авторизации |
Разрешенное количество неудачных попыток авторизации через Captive-портал до блокировки учетной записи пользователя |
|
Время блокировки пользователя |
Время, на которое блокируется учетная запись пользователя при достижении указанного числа неудачных попыток авторизации |
|
Предлагать выбор домена AD/LDAP на странице авторизации Captive-портала |
Если в качестве метода аутентификации используется авторизация с помощью Active Directory, то при включении данного параметра пользователь сможет выбрать имя домена из списка на странице авторизации. Если данный параметр не включен, пользователь должен явно указывать домен в виде DOMAIN\username или username@domain |
|
HTTPS для страницы авторизации |
Использовать HTTPS при отображении страницы авторизации Captive-портала для пользователей. Необходимо иметь корректно настроенный сертификат для SSL Captive-портала. Более подробно о сертификатах смотрите в разделе Управление сертификатами |
|
Методы аутентификации |
Созданные ранее методы авторизации пользователей, например, сервер авторизации Active Directory. Если указано более одного метода авторизации, то они будут использоваться в порядке, в котором они перечислены в консоли. Метод авторизации Принять политику позволяет использовать шаблон авторизации без требования вводить имя и пароль, достаточно согласия пользователя с политикой доступа к сети |
Для настройки самостоятельной регистрации пользователей с подтверждением пароля с помощью SMS или Email необходимо настроить параметры на вкладке Регистрация временных пользователей. Следует помнить, что в этом случае необходимо использовать соответствующий тип шаблона (Captive portal: SMS auth/ Captive portal: Email auth).
|
Наименование |
Описание |
|
Профиль оповещения |
Профиль оповещения, который будет использоваться для отсылки информации о созданном пользователе и его пароле. Может использоваться 2 типа -- SMS и Email. Более подробно о создания профиля оповещения смотрите в главе Оповещения |
|
От |
Указать, от имени кого будут отправляться оповещения |
|
Тема оповещения |
Тема оповещения (только для Email-оповещений) |
|
Письмо оповещения |
Тело письма сообщения. В письме можно использовать специальные переменные {login} и {password}, которые будут заменены на имя пользователя и его пароль. |
|
Дата и время окончания |
Время, когда учетная запись временного пользователя будет отключена |
|
Время жизни |
Продолжительность времени с момента первой авторизации временного пользователя, по истечении которого его учетная запись будет отключена |
|
Длина пароля |
Определяет длину пароля для создаваемого пользователя |
|
Сложность пароля |
Определяет сложность пароля для создаваемого пользователя. Возможны варианты: |
|
Группы |
Группа для временных пользователей, в которую будут помещены создаваемые пользователи. О группах для временных пользователей читайте в главе Временные пользователи |
Чтобы создать правило Captive-портала, необходимо нажать на кнопку Добавить в разделе правил Captive-портала и указать необходимые параметры:
|
Наименование |
Описание |
|
Название |
Название правила Captive-портала |
|
Описание |
Описание правила Captive-портала |
|
Captive-профиль |
Выбрать Captive-профиль, созданный ранее. Доступно действие Не использовать аутентификацию, при выборе которого авторизация не будет требоваться |
|
Источник |
Адреса Источника. В качестве источника можно указать определенную зону, например, зону LAN и диапазон адресов IP |
|
Назначение |
IP-адреса назначения. Могут быть использованы IP-адреса стран (Geo-IP) |
|
Категории URL-фильтрации |
Категории URL-фильтрации, для которых будет применяться правило. Для URL-фильтрации необходимо иметь соответствующую лицензию |
|
URL |
Списки URL, для которых будет применяться правило |
|
Время |
Время, когда данное правило будет активно |
Таким образом, создав несколько правил Captive-портала, можно настроить различные политики идентификации пользователей для различных зон, адресов и времени.
Важно! Условия, указанные во вкладках правила, применяются согласно логике "И", то есть требуют совпадения всех указанных условий для того, чтобы правило сработало. Если необходимо использовать логику "ИЛИ", то это достигается путем создания нескольких правил.
Важно! Правила применяются в порядке, в котором они отображаются в консоли. Вы можете изменить порядок правил с помощью соответствующих кнопок.
Важно! При обработке правил применяется только первое сработавшее правило.
В случае, если необходимо сменить пользователя после его авторизации в системе или выйти из системы, необходимо перейти на url http://logout.captive или на http://UTM_IP_address:8002/cps и нажать на кнопку Выйти.