6.4. Профили авторизации

Профиль авторизации позволяет указать набор способов и параметров авторизации пользователей, которые в дальнейшем можно будет использовать в различных подсистемах UserGate, например, Captive-портал, VPN, веб-портал и т.д. Чтобы создать профиль авторизации, необходимо в разделе Пользователи и устройства --> Профили авторизации нажать на кнопку Добавить и указать необходимые параметры:

Наименование

Описание

Название

Название профиля.

Описание

Описание профиля.

Профиль MFA

Профиль мультифакторной авторизации. Должен быть предварительно создан в разделе Профили MFA, если планируется использовать мультифакторную авторизацию с данным профилем авторизации. Профиль определяет способ доставки одноразового пароля для второго метода авторизации. Более подробно о настройке профиля MFA смотрите в соответствующей главе далее.

Важно! Мультифакторная авторизация возможна только с методами аутентификации, позволяющими ввести пользователю одноразовый пароль, то есть только те, где пользователь явно вводит свои учетные данные в веб-форму страницы авторизации. В связи с этим, мультифакторная авторизация невозможна для методов аутентификации Kerberos и NTLM.

Время бездействия до отключения

Данный параметр определяет, через сколько секунд UserGate переведет пользователя из Known users в Unknown users при неактивности пользователя (отсутствии сетевых пакетов с IP-адреса пользователя).

Время жизни авторизованного пользователя

Данный параметр определяет, через сколько секунд UserGate переведет пользователя из Known users в Unknown users. По происшествии указанного времени пользователю потребуется повторно авторизоваться на Captive-портале.

Число неудачных попыток авторизации

Разрешенное количество неудачных попыток авторизации через Captive-портал до блокировки учетной записи пользователя.

Время блокировки пользователя

Время, на которое блокируется учетная запись пользователя при достижении указанного числа неудачных попыток авторизации.

Методы аутентификации

Созданные ранее методы авторизации пользователей, например, сервер авторизации Active Directory или RADIUS. Если указано более одного метода авторизации, то они будут использоваться в порядке, в котором они перечислены в консоли.

Также возможно использование встроенных механизмов авторизации, таких как:

  • Локальный пользователь - авторизация по базе данных локально заведенных пользователей.

  • Принять политику - не требуется авторизация, но, прежде чем получить доступ в интернет, пользователь должен согласиться с политикой использования сети. Данный тип авторизации необходимо применять совместно с профилем Captive-портала, в котором используется страница авторизации Captive portal policy.

  • HTTP Basic - авторизация с помощью устаревшего метода HTTP Basic.

  • Аутентификация Kerberos - авторизация с помощью Kerberos.