Авторизация NTLM позволяет прозрачно (без запроса имени пользователя и его пароля) авторизовать пользователей домена Active Directory. При авторизации с помощью NTLM сервер UserGate работает с контроллерами домена, которые выполняют проверку пользователя, который получает доступ в интернет.
1. Создадим LDAP - коннектор для получения информации о пользователях и группах Active Directory.
Перейдем в раздел Пользователи и устройства → Серверы авторизации, нажмем кнопку Добавить → Добавить LDAP коннектор.
В свойствах коннектора LDAP внесем следующие настройки:
Вкладка Настройки
Название: произвольное название LDAP - коннектора.
Доменное имя LDAP или IP-адрес: IP-адрес сервера контроллера домена.
Bind DN («логин»): внесем доменного пользователя в формате DOMAIN\username или username@domain для подключения к серверу LDAP. Данный пользователь уже должен быть заведен в домене.
Пароль: пароль пользователя для подключения к домену.
Вкладка Домены LDAP
Нажмем кнопку Добавить и внесем доменное имя LDAP
После внесения настроек нажмем на кнопку Проверить соединение. Если настройки внесены верно, получим сообщение об успехе.
Сохраним настройки LDAP коннектора нажав на кнопку Сохранить.
2. Создадим NTLM --- сервер авторизации.
В разделе Пользователи и устройства → Серверы авторизации, нажмем кнопку Добавить → Добавить NTLM-сервер.
Название: произвольное название сервера авторизации.
IP-адрес: IP адрес контроллера домена.
Домен Windows: доменное имя.
Сохраним настройки NTLM сервера нажав на кнопку Сохранить.
3. Создадим профиль авторизации для NTLM сервера.
В разделе Пользователи и устройства → Профили авторизации, нажмем кнопку Добавить.
Вкладке Общие.
Название: произвольное название профиля авторизации.
Вкладка Методы аутентификации
Нажмем кнопку Добавить и выберем ранее созданный NTLM сервер.
Сохраним настройки профиля авторизации нажав на кнопку Сохранить.
4. Создадим Captive-профиль.
В разделе Пользователи и устройства → Captive-профили, нажмем кнопку Добавить.
Вкладка Общие
Название: произвольное название captive --- профиля.
Профиль авторизации: выберем ранее созданный NTLM профиль.
Сохраним настройки Captive-профиля нажав на кнопку Сохранить.
5. Создадим правило Captive-портала для NTLM авторизации.
В разделе Пользователи и устройства → Captive-портал, нажмем кнопку Добавить.
Вкладка Общие
Название: произвольное название правила captive-портала.
Captive-профиль: выберем ранее созданный captive-профиль.
Сохраним настройки правила Captive-портала нажав на кнопку Сохранить.
6. Настроим синхронизацию времени с контроллером домена.
В разделе Настройки → Настройка времени сервера, установим Основной NTP-сервер --- IP адрес контроллера домена.
7. Создадим DNS записи для сервера UserGate.
Где 10.1.10.21 IP адрес интерфейса UserGate подключенного в зону Trusted.
8. Изменим адрес домена Auth Captive-портала.
В разделе Настройки →Модули, изменим названия Доменов на созданные доменные имена в предыдущем разделе.
9. Разрешить доступ к сервису HTTP(S) для зоны.
В разделе Зоны разрешить доступ к сервису HTTP(S)-прокси для зоны, к которой подключены пользователи, авторизующиеся с помощью NTLM.
10. Произведем настройки на компьютере пользователя.
Настройка прокси-сервера для авторизации в стандартном режиме.
Панель управления → Свойства браузера → Подключения → Настройка сети → Прокси-сервер и указать IP адрес и порт интерфейса UserGate, к которому будут подключены пользователи.
Настройка авторизации в прозрачном режиме.
Панель управления → Свойства браузера →безопасность → выберите зону Интернет → Уровень безопасности → Другой → Проверка подлинности пользователя и установите Автоматический вход в сеть с текущим именем пользователя и пароля.
Панель управления → Свойства браузера →Безопасность → установить. Разрешить встроенную проверку подлинности Windows.
