Терминальный сервер служит для удаленного обслуживания пользователя с предоставлением рабочего стола или консоли. Как правило, один терминальный сервер предоставляет свой сервис нескольким пользователям, а в некоторых случаях десяткам или даже сотням пользователей. Проблема идентификации пользователей терминального сервера состоит в том, что у всех пользователей сервера будет определен один и тот же IP-адрес, и UserGate не может корректно идентифицировать сетевые подключения пользователей. Для решения данной проблемы предлагается использование специального агента терминального сервиса. Каждому пользователю выделяется диапазон портов, с использованием которых происходит соединение пользователя, т.е. исходные порты подменяются на порты из выделенного для пользователя диапазона.
Агент терминального сервиса должен быть установлен на все терминальные серверы, пользователей которых необходимо идентифицировать. Агент представляет собой сервис, который передает на сервер UserGate информацию о пользователях терминального сервера и об их сетевых соединениях. В силу специфики работы протокола TCP/IP, агент терминального сервиса может идентифицировать трафик пользователей, передаваемый только с помощью TCP и UDP протоколов. Протоколы, отличные от TCP/UDP, например, ICMP, не могут быть идентифицированы.
Для корректной идентификации пользователей, в случае использования на терминальных серверах авторизации Active Directory, требуется настроенный сервер Active Directory коннектор.
Чтобы начать работу с идентификацией пользователей на терминальных серверах, необходимо выполнить следующие шаги:
|
Наименование |
Описание |
|---|---|
|
Шаг 1. Разрешить сервис агент авторизации на необходимой зоне. |
В разделе Сеть --> Зоны разрешить сервис Агент авторизации для той зоны, со стороны которой расположены серверы терминального доступа. |
|
Шаг 2. Задать пароль агентов терминального сервера. |
В консоли UserGate в разделе UserGate --> Настройки --> Модули напротив записи Пароль агентов терминального сервиса нажать на кнопку Настроить и задать пароль агентов терминального сервера. |
|
Шаг 3. Установить агент терминального сервера. |
Установить агент терминального сервера на все серверы, для которых необходимо идентифицировать пользователей. При установке следует задать IP-адрес сервера UserGate и заданный на предыдущем шаге пароль. |
|
Шаг 4. Добавить необходимые серверы в консоли UserGate. |
В разделе Пользователи и устройства --> Терминальные серверы необходимо добавить агентов терминального сервера, указав имя и адрес хоста. После получения данных с указанного в настройках хоста и совпадении пароля, указанного в пункте 2, авторизация пользователей будет включена автоматически. При обновлении версии UserGate агенты терминальных серверов, которые ранее отображались в веб-консоли, будут продолжать работать. |
UserGate теперь будет получать информацию о пользователях.
Агент терминального сервера позволяет авторизовывать не только доменных, но и локальных пользователей терминального сервера. Для этого необходимо добавить в файл конфигурации (%ALLUSERSPROFILE%\Entensys\Terminal Server Agent\tsagent.cfg) следующий параметр:
LocalDomain = 1
После изменения файла конфигурации сервис терминального агента нужно перезапустить.
Таких пользователей также необходимо добавить в UserGate как локальных. О добавлении пользователей читайте в разделе Пользователи. При добавлении необходимо указать Логин в формате: «имя компьютера_имя пользователя»; пароль указывать не нужно.
Примечание
Имя компьютера должно состоять из букв, цифр и знака подчёркивания; использование тире не допускается.
Параметры терминального сервера могут быть изменены путём внесения изменений в файл конфигурации агента авторизации для терминальных серверов. После внесения изменений агент авторизации необходимо перезапустить.
Ниже представлен список параметров файла tsagent.cfg:
-
TimerUpdate: периодичность отправки данных (указывается в секундах).
-
MaxLogSize: максимальный размер журнала работы сервиса (указывается в Мбайт).
-
SharedKey: пароль для подключения агента.
-
SystemAccounts: может принимать значения 0 или 1. При значении параметра SystemAccounts=1 включает передачу информации о соединениях системных аккаунтов (system, local service, network service) и портах, используемых для соединения, на устройство UserGate.
-
FQDN: может принимать значения 0 или 1. Значение параметра FQDN=1 соответствует использованию FQDN (Fully Qualified Domain Name), например, «example.com» вместо «example».
-
ServerPort: номер порта устройства UserGate, принимающего соединение от агента авторизации. По умолчанию используется порт UDP:1813.
-
ServerAddress: IP-адрес устройства UserGate, принимающего соединение от агента авторизации.
-
UserCount: максимальное количество пользователей.
-
BlockDNS: может принимать значения 0 или 1. При BlockDNS=1 происходит замена порта источника на свободный порт из выделенного для пользователя диапазона при DNS запросе (UDP:53); при BlockDNS=0 - отправка трафика происходит без замены порта.
-
BlockUDP: может принимать значения 0 или 1. Значение параметра BlockUDP=1 соответствует замене порта источника на свободный порт из выделенного для пользователя диапазона при отправке трафика UDP; при BlockUDP=0 - отправка трафика происходит без замены порта.
-
ExcludeIP: в случае, если на терминальном сервере настроены несколько IP-адресов, то все они будут использованы для авторизации пользователей. Параметр ExcludeIP позволяет ограничить выход пользователей в Интернет с определённых IP-адресов терминального сервера (IP-адреса, с которых необходимо запретить трафик, указываются через запятую в виде ExcludeIP=IP1,IP2).
-
ExcludePorts: диапазон, порты из которого не будут подменяться на порты из выделенного для пользователя диапазона портов (диапазон портов указывается следующим образом: ExcludePorts=port1-port2).
-
NAT_IP: необходим при наличии NAT между терминальным сервером и UserGate: замена IP-адреса терминального сервера на один из адресов указанного диапазона. Адреса указываются в следующем виде: NAT_IP="12.3.4-1.1.1.1;2.2.2.2-5.5.5.5".