Для пользователей, работающих на операционной системе Windows, входящих в домен Active Directory, существует еще один способ аутентификации --- использовать специальный агент аутентификации. Агент представляет собой сервис, который передает на NGFW информацию о пользователе, его имя и IP-адрес, соответственно, NGFW будет однозначно определять все сетевые подключения данного пользователя, и аутентификация другими методами не требуется. Чтобы начать работу с пользователями посредством агента аутентификации, необходимо выполнить следующие шаги:
|
Наименование |
Описание |
|---|---|
|
Шаг 1. Разрешить сервис агент аутентификации на необходимой зоне. |
В разделе Сеть ➜ Зоны разрешить сервис Агент аутентификации для той зоны, со стороны которой находятся пользователи. |
|
Шаг 2. Задать пароль агентов терминального сервера. |
В консоли NGFW в разделе UserGate ➜ Настройки ➜ Модули напротив записи Пароль агентов терминального сервиса нажать на кнопку Настроить и задать пароль агентов терминального сервера. |
|
Шаг 3. Установить агент аутентификации. |
Установить агент аутентификации на все компьютеры, для которых необходимо идентифицировать пользователей. Агент аутентификации может быть установлен на пользовательский компьютер под управлением ОС Windows 7/8/10/11 со следующими минимальными требованиями к системе: от 2 ГБ оперативной памяти, процессор с тактовой частотой не ниже 2 ГГц и 200 Мб свободного пространства на жестком диске. Агент аутентификации поставляется вместе с административным шаблоном для распространения через политики Active Directory. Используя этот шаблон, администратор может развернуть корректно настроенный агент на большое количество пользовательских компьютеров. С помощью административного шаблона администратор может задать IP-адрес и порт сервера UserGate, и заданный на предыдущем шаге пароль. Более подробно о развертывании ПО с использованием политик Active Directory вы можете прочитать в документации Microsoft. Агент может быть установлен и без использования групповых политик. Для этого необходимо установить агент из инсталлятора и указать необходимые параметры для подключения к серверу UserGate в следующих ключах реестра: [HKEY_CURRENT_USER\Software\Policies\Entensys\Auth Client] "ServerIP"="" "ServerPort"="1813" "SharedKey"="" |
NGFW теперь будет получать информацию о пользователях. В политиках безопасности можно использовать имена пользователей, как они указаны в Active Directory, для этого необходим настроенный LDAP-коннектор. Если коннектор не настроен, то можно использовать пользователей Known и Unknown.
\Users\<username>\AppData\Roaming\Entensys\Entensys Auth Client\entsagent.log
Установленный агент аутентификации отсылает информацию обо всех IP-адресах, назначенных на интерфейсы устройства. В некоторых сценариях может возникнуть необходимость исключать из этой информации определенные IP-адреса с помощью указания сети или диапазона в настройках агента.
Исключить рассылку определенных адресов и/или подсетей агентом аутентификации можно с помощью параметра ExcludeIP. Параметр ExcludeIP может иметь следующие настройки:
-
IP-адреса в формате x.x.x.x и/или адреса подсетей в формате x.x.x.x/n, указываются через точку с запятой (например, ExcludeIP=x.x.x.x/n; x.x.x.x ).
-
Допускается использование пробелов между адресами в списке, они игнорируются (например, ExcludeIP=x.x.x.x/n; x.x.x.x;y.y.y.y ).
-
Если в строке есть ошибки в написании адресов, они будут отражены в логах при старте агента. Будут использованы только правильно указанные адреса. Количество используемых адресов из списка записывается в лог при старте агента.
-
Если в результате фильтрации будут исключены все адреса из рассылки, то делается запись в лог (один раз) в виде: GetIPAddressList: IP list is blocked by ExceptIP. Если позже будет сформирована непустая рассылка, то делается запись в лог в виде: GetIPAddressList: IP list is not blocked by ExceptIP anymore.
Параметр ExcludeIP может быть активирован в системе несколькими способами:
-
Добавлен в файл конфигурации агента tsagent.cfg, который создается в разделе: \users\<username>..ApplicationData\Entensys. После внесения изменений агент аутентификации необходимо перезапустить В этом случае настройки параметра будут действовать только для пользователя, под учетной записью которого создан файл.
-
Добавлен в качестве строкового параметра в ветку реестра Windows [HKEY_CURRENT_USER\Software\Policies\Entensys\Auth Client]. В этом случае настройки параметра будут действовать только для данного пользователя.
-
Добавлен в качестве строкового параметра в ветку реестра Windows [HKEY_LOCAL_MACHINE\Software\Policies\Entensys\Auth Client]. В этом случае настройки параметра будут действовать для всех пользователей данной системы.
Порядок поиска настроек параметра ExcludeIP в системе следующий: сначала параметр ищется в ветке реестра [HKEY_LOCAL_MACHINE\Software\Policies\Entensys\Auth Client], затем в ветке реестра [HKEY_CURRENT_USER\Software\Policies\Entensys\Auth Client], затем в файле tsagent.cfg.