Авторизация NTLM позволяет прозрачно (без запроса имени пользователя и его пароля) авторизовать пользователей домена Active Directory. При авторизации с помощью NTLM сервер UserGate работает с контроллерами домена, которые выполняют проверку пользователя, который получает доступ в интернет.
Сервер NTLM не может предоставить список пользователей в UserGate и, если пользователи не были заведены в UserGate предварительно (например, как локальные пользователи или получены из домена AD с помощью LDAP-коннектора), поэтому в политиках фильтрации можно использовать только пользователей типа Known (успешно прошедших авторизацию на сервере NTLM) или Unknown (не прошедших авторизацию).
Авторизация NTLM может работать как при явном указании прокси-сервера в браузере пользователя (это стандартный режим), так и в прозрачном режиме, когда прокси-сервер в браузере не указан. Настройка UserGate не отличается от режима работы авторизации.
Для настройки авторизации с помощью NTLM необходимо выполнить следующие действия:
|
Наименование |
Описание |
|---|---|
|
Шаг 1. Настроить синхронизацию времени с контроллером домена |
В настройках UserGate включить синхронизацию времени с серверами NTP, в качестве основного и - опционально - запасного NTP-сервера указать IP-адреса контроллеров домена. |
|
Шаг 2. Создать DNS-запись для сервера UserGate |
На контроллере домена создать DNS-записи, соответствующие серверу UserGate для использования в качестве домена для auth.captive и logout.captive, например, auth.domain.loc и logout.domain.loc В качестве IP-адреса укажите адрес интерфейса UserGate, подключенного в сеть Trusted. |
|
Шаг 3. Изменить адрес Домен Auth Captive-портала |
Изменить адрес домена Auth Captive-портала и опционально адрес домена Logout Captive-портала в разделе Настройки. Для домена Auth Captive-портала необходимо указать созданную на предыдущем шаге запись DNS. Для домена Logout Captive-портала необходимо указать созданную на предыдущем шаге запись DNS. Подробно об изменении адресов доменов Auth Captive-портала и Logout Captive-портала смотрите в разделе Общие настройки. |
|
Шаг 4. Добавить NTLM-сервер авторизации |
В разделе Серверы авторизации нажать на кнопку Добавить, выбрать Добавить NTLM-сервер и указать название и имя домена Windows. Для корректной работы авторизации NTLM, необходимо, чтобы указанное здесь имя домена резолвилось в IP-адреса контроллеров домена. |
|
Шаг 5. Создать правило Captive-портала с авторизацией NTLM |
Настроить Captive-портал для использования метода авторизации NTLM. Более подробно о Captive-портале рассказывается в следующих главах руководства. |
|
Шаг 6. Разрешить доступ к сервису HTTP(S) для зоны |
В разделе Зоны разрешить доступ к сервису HTTP(S)-прокси для зоны, к которой подключены пользователи, авторизующиеся с помощью NTLM. |
|
Шаг 7. Для авторизации в стандартном режиме настроить прокси-сервер на компьютерах пользователей |
На компьютерах пользователей указать обязательное использование прокси-сервера, указать IP-адрес Trusted интерфейса UserGate в качестве адреса прокси сервера. Важно! Вместо IP-адреса можно использовать доменное имя, но для NTLM важно, чтобы это имя было не из домена Active Directory, иначе Windows-компьютер будет пытаться использовать авторизацию Kerberos. Важно! В настройках UserGate имена, используемые в качестве домена для auth.captive и logout.captive, не должны быть из домена Active Directory, иначе Windows-компьютер будет пытаться использовать авторизацию Kerberos. |
|
Шаг 8. Для авторизации в прозрачном режиме настроить автоматическую проверку подлинности пользователя браузером для всех зон |
На компьютерах пользователей зайдите в Панель управления --> Свойства браузера --> Безопасность, выберите зону Интернет --> Уровень безопасности --> Другой --> Проверка подлинности пользователя и установите Автоматический вход в сеть с текущем именем пользователя и паролем (Control panel --> Internet options --> Security, выберите зону Internet --> Custom level --> User Authentication --> Logon и установите Automatic logon with current name and password) Повторите данную настройку для всех других зон, настроенных на данном компьютере (Local intranet, Trusted sites). |