Авторизация Kerberos позволяет прозрачно (без запроса имени пользователя и его пароля) авторизовать пользователей домена Active Directory. При авторизации через Kerberos сервер UserGate работает с контроллерами домена, которые выполняют проверку пользователя, который получает доступ в интернет.
Авторизация Kerberos может работать как при явном указании прокси-сервера в браузере пользователя (это стандартный режим), так и в прозрачном режиме, когда прокси-сервер в браузере не указан.
Для авторизации Kerberos необходимо выполнить следующие действия:
Наименование |
Описание |
---|---|
Шаг 1. Создать DNS-записи для сервера UserGate |
На контроллере домена создать DNS-записи соответствующую серверу UserGate для использования в качестве домена для auth.captive и logout.captive, например, auth.domain.loc и logout.domain.loc В качестве IP-адреса укажите адрес интерфейса UserGate, подключенного в сеть Trusted. Важно! Для корректной работы создайте записи типа A, не используйте CNAME-записи. |
Шаг 2. Создать пользователя для сервера UserGate |
Создать пользователя в домене AD, например, kerb@domain.loc с опцией password never expires. Установите пароль пользователю kerb. Важно! Не используйте символы национальных алфавитов, например, кириллицу, в именах пользователя kerb или в организационных единицах Active Directory, где вы планируете создать учетную запись пользователя kerb. Важно! Не используйте в качестве пользователя для Kerberos пользователя, созданного для работы LDAP-коннектора. Необходимо использовать отдельную учетную запись. |
Шаг 3. Создать keytab файл |
На контроллере домена, создать keytab файл, выполнив следующую команду из-под администратора (команда в одну строку!): ktpass.exe /princ HTTP/auth.domain.loc@DOMAIN.LOC /mapuser kerb@DOMAIN.LOC /crypto ALL /ptype KRB5_NT_PRINCIPAL /pass * /out C:\utm.keytab Введите пароль пользователя kerb. Важно! Команда чувствительна к регистру букв. В данном примере: auth.domain.loc - DNS-запись, созданная для сервера UserGate на шаге 1 DOMAIN.LOC - Kerberos realm domain, обязательно большими буквами! kerb@DOMAIN.LOC - имя пользователя в домене, созданное на шаге 2, имя realm-домена обязательно большими буквами! |
Шаг 4. Настроить DNS-серверы на UserGate |
В настройках UserGate в качестве системных DNS-серверов указать IP-адреса контроллеров домена |
Шаг 5. Настроить синхронизацию времени с контроллером домена |
В настройках UserGate включить синхронизацию времени с серверами NTP, в качестве основного и - опционально - запасного NTP-сервера указать IP-адреса контроллеров домена |
Шаг 6. Изменить адрес Домен auth captive-портала |
Изменить адрес Домен auth captive-портала и опционально адрес Домен logout captive-портала в разделе Настройки на созданные на предыдущем шаге записи DNS. Подробно об изменении адресов доменов смотрите в разделе Общие настройки. |
Шаг 7. Создать LDAP-коннектор и загрузить в него keytab-файл |
Создать сервер авторизации типа LDAP коннектор и загрузить полученный на предыдущем шаге keytab-файл. Важно! Не используйте в качестве пользователя для LDAP-коннектора, пользователя, созданного ранее для работы Kerberos. Необходимо использовать отдельную учетную запись. Подробно о настройке LDAP-коннектора смотрите раздел LDAP-коннектор. |
Шаг 8. Создать правило Captive-портала с авторизацией Kerberos |
Настроить Captive-портал для использования метода авторизации Kerberos. Более подробно о Captive-портале рассказывается в разделе Настройка Captive-портала. |
Шаг 9. Разрешить доступ к сервису HTTP(S) для зоны |
В разделе Зоны разрешить доступ к сервису HTTP(S)-прокси для зоны, к которой подключены пользователи, авторизующиеся с помощью Kerberos |
Шаг 10. Для авторизации в стандартном режиме настроить прокси-сервер на компьютерах пользователей |
На компьютерах пользователей указать обязательное использование прокси-сервера в виде FQDN-имени USERGATE, созданного на шаге 3 |
Шаг 11. Для авторизации в прозрачном режиме настроить автоматическую проверку подлинности пользователя браузером для всех зон |
На компьютерах пользователей зайдите в Панель управления --> Свойства браузера --> Безопасность, выберите зону Интернет --> Уровень безопасности --> Другой --> Проверка подлинности пользователя и установите Автоматический вход в сеть с текущем именем пользователя и паролем (Control panel --> Internet options --> Security, выберите зону Internet --> Custom level --> User Authentication --> Logon и установите Automatic logon with current name and password) Повторите данную настройку для всех других зон, настроенных на данном компьютере (Local intranet, Trusted sites). |