4.7. Авторизация с помощью NTLM

Авторизация NTLM позволяет прозрачно (без запроса имени пользователя и его пароля) авторизовать пользователей домена Active Directory. При авторизации с помощью NTLM сервер UserGate работает с контроллерами домена, выполняющими проверку пользователя, который получает доступ в интернет.

На UserGate-сервере предварительно произведены сетевые настройки, протокол QUIC запрещён (можно запретить, настроив правило межсетевого экрана в разделе Политики сети --> Межсетевой экран), включено правило дешифрования всех неизвестных пользователей (раздел Политики безопасности --> Инспектирование SSL: можно использовать правило, созданное по умолчанию Decrypt all for unknown users). Это необходимо для авторизации пользователей, которые делают свои запросы по зашифрованному протоколу HTTPS.

Для настройки авторизации NTLM необходимо выполнить следующие действия (для настройки авторизации NTLM предварительно был создан домен test1.net).

1. Создать DNS-записи для сервера UserGate. Необходимо создавать записи типа A, не создавайте записи типа CNAME. В качестве IP-адреса необходимо указать IP-адрес интерфейса UserGate, подключенного в зону Trusted.

2. Произвести настройку UserGate.

Вариант 1. В разделе Сеть --> DNS --> Системные DNS-серверы укажите IP-адреса контроллеров домена (в данном примере 10.0.0.20).

Настройте синхронизацию времени с контроллером домена: в разделе UserGate --> Настройки --> Настройка времени сервера необходимо изменить Основной NTP-сервер. Укажите IP-адрес контроллера домена. В качестве запасного - опционально - можно указать IP-адрес другого контроллера домена.

Далее перейдите к пункту 3.

Вариант 2. В разделе Сеть --> DNS --> Системные DNS-серверы укажите IP-адреса DNS-серверов интернета.

В разделе Сеть --> DNS --> DNS-прокси --> Правила DNS нажмите на кнопку Добавить и укажите домен и IP-адреса контроллеров домена.

Настройте синхронизацию времени в разделе UserGate --> Настройки --> Настройка времени сервера. Измените основной и запасной NTP-серверы (поля Основной NTP-сервер и Запасной NTP-сервер).

Перейдите в раздел Сеть --> Зоны и в настройках зоны внутренней подсети организации (по умолчанию, зона Trusted) во вкладке Контроль доступа разрешите сервисы DNS и NTP сервис.

На серверах контроллеров AD укажите UserGate в качестве корневого сервера DNS и основного сервера NTP.

3. Изменить адрес домена Auth Captive-портала.

В разделе UserGate --> Настройки --> Модули измените названия доменов Auth/Logout Captive-портала и страницы блокировки на доменные имена, созданные в пункте 1.

4. Создать LDAP - коннектор для получения информации о пользователях и группах Active Directory.

Перейдите в раздел Пользователи и устройства --> Серверы авторизации, нажмите кнопку Добавить и выберите Добавить LDAP коннектор.

Настройте коннектор LDAP:

В свойствах коннектора LDAP во вкладке Настройки необходимо указать:

• Произвольное название LDAP - коннектора (поле Название).

• IP-адрес сервера контроллера домена (поле Доменное имя LDAP или IP-адрес).

• Bind DN («логин») в формате DOMAIN\username или username@domain для подключения к серверу LDAP. Данный пользователь уже должен быть заведен в домене.

• Пароль пользователя для подключения к домену.

Добавьте доменное имя LDAP во вкладке Домены LDAP.

После внесения настроек нажмем на кнопку Проверить соединение. Если настройки внесены верно, получим сообщение об успехе.

Во вкладке Kerberos keytab можно загрузить keytab-файл. Загрузка keytab-файла не является обязательной, но наличие keytab-файла желательно, т.к. keytab снимает значительную часть нагрузки с AD и ускоряет его работу.

Сохраните настройки LDAP коннектора, нажав на кнопку Сохранить.

5. Создать NTLM - сервер авторизации.

В разделе Пользователи и устройства --> Серверы авторизации создайте NTLM-сервер (Добавить --> Добавить NTLM-сервер). Укажите следующие данные:

• Название сервера авторизации.

• Описание (опционально).

• IP-адрес контроллера домена.

• Домен Windows: укажите IP-адрес контроллера домена.

Сохраните настройки NTLM-сервера нажатием кнопки Сохранить.

6. Создать профиль авторизации для NTLM-сервера.

Создайте профиль авторизации в разделе Пользователи и устройства --> Профили авторизации.

Укажите:

• Название профиля авторизации.

• Метод аутентификации в одноимённой вкладке.

Сохраните настройки профиля авторизации.

7. Создать Captive-профиль.

В разделе Пользователи и устройства --> Captive-профили создайте Captive-профиль. Укажите:

• Название captive-профиля.

• Профиль авторизации: выберете ранее созданный NTLM профиль.

Сохраните настройки Captive-профиля.

8. Создать правило Captive-портала для NTLM авторизации.

В разделе Пользователи и устройства --> Captive-портал нажмите кнопку Добавить и укажите:

• Название правила captive-портала.

• Captive-профиль, созданный ранее.

9. Произведите настройки на компьютере пользователя.

Настройка прокси-сервера для авторизации в стандартном режиме.

Перейдите Панель управления --> Cеть и Интернет --> Свойства браузера --> Подключения --> Настройка сети --> Прокси-сервер и укажите IP-адрес и порт интерфейса UserGate, к которому будут подключены пользователи.

Настройка авторизации в прозрачном режиме.

Для работы в прозрачном режиме авторизации перейдите в Панель управления --> Cеть и Интернет --> Свойства браузера --> Безопасность --> Интернет. В разделе Уровень безопасности для этой зоны нажмите кнопку Другой и в параметрах безопасности в разделе Проверка подлинности пользователя --> Вход установите Автоматический вход в сеть с текущим именем пользователя и паролем.

Перейдите в Панель управления --> Cеть и Интернет --> Свойства браузера --> Дополнительно. Отметьте чекбокс Разрешить встроенную проверку подлинности Windows.

Проверка авторизации NTLM.

Для проверки работы NTLM-авторизации в браузере пользователя перейдите на сайт, например, ya.ru. Далее на UserGate перейдите во вкладку Журналы и отчёты в раздел Журналы --> Журнал веб-доступа. В журнале видно, что запрос происходит от доменного пользователя.