Авторизация с помощью NTLM

ID статьи: 16
Последнее обновление: 25 авг, 2023
KnowledgeBase:
Product: UserGate NGFW
Version: 6.1.8, 6.1.9

Настройка Авторизации NTLM

Авторизация NTLM позволяет прозрачно (без запроса имени пользователя и его пароля) авторизовать пользователей домена Active Directory. При авторизации с помощью NTLM сервер UserGate работает с контроллерами домена, выполняющими проверку пользователя, который получает доступ в интернет.

На UserGate-сервере предварительно произведены сетевые настройки, протокол QUIC запрещён (можно запретить, настроив правило межсетевого экрана в разделе Политики сети ➜ Межсетевой экран), включено правило дешифрования всех неизвестных пользователей (раздел Политики безопасности ➜ Инспектирование SSL: можно использовать правило, созданное по умолчанию Decrypt all for unknown users). Это необходимо для авторизации пользователей, которые делают свои запросы по зашифрованному протоколу HTTPS.

Примечание Для авторизации пользователей через NTLM пользователи должны входить в группу Domain users (пользователи домена) в AD.

Для настройки авторизации NTLM необходимо выполнить следующие действия (для настройки авторизации NTLM предварительно был создан домен test1.net).

  1. Создать DNS-записи для сервера UserGate. Необходимо создавать записи типа A, не создавайте записи типа CNAME. В качестве IP-адреса необходимо указать IP-адрес интерфейса UserGate, подключенного в зону Trusted.

image21

image43

  1. Произвести настройку UserGate.

Вариант 1. В разделе Сеть ➜ DNS ➜ Системные DNS-серверы укажите IP-адреса контроллеров домена (в данном примере 10.0.0.20).

image44

Настройте синхронизацию времени с контроллером домена: в разделе UserGate ➜ Настройки ➜ Настройка времени сервера необходимо изменить Основной NTP-сервер. Укажите IP-адрес контроллера домена. В качестве запасного - опционально - можно указать IP-адрес другого контроллера домена.

image45

Далее перейдите к пункту 3.

Вариант 2. В разделе Сеть ➜ DNS ➜ Системные DNS-серверы укажите IP-адреса DNS-серверов интернета.

image46

В разделе Сеть ➜ DNS ➜ DNS-прокси ➜ Правила DNS нажмите на кнопку Добавить и укажите домен и IP-адреса контроллеров домена.

image47

Настройте синхронизацию времени в разделе UserGate ➜ Настройки ➜ Настройка времени сервера. Измените основной и запасной NTP-серверы (поля Основной NTP-сервер и Запасной NTP-сервер).

image48

Перейдите в раздел Сеть ➜ Зоны и в настройках зоны внутренней подсети организации (по умолчанию, зона Trusted) во вкладке Контроль доступа разрешите сервисы DNS и NTP сервис.

image49

На серверах контроллеров AD укажите UserGate в качестве корневого сервера DNS и основного сервера NTP.

  1. Изменить адрес домена Auth Captive-портала.

В разделе UserGate ➜ Настройки ➜ Модули измените названия доменов Auth/Logout Captive-портала и страницы блокировки на доменные имена, созданные в пункте 1.

image50

  1. Создать LDAP - коннектор для получения информации о пользователях и группах Active Directory.

Перейдите в раздел Пользователи и устройства ➜ Серверы авторизации, нажмите кнопку Добавить и выберите Добавить LDAP коннектор.

Настройте коннектор LDAP:

В свойствах коннектора LDAP во вкладке Настройки необходимо указать:

  • Произвольное название LDAP - коннектора (поле Название).

  • IP-адрес сервера контроллера домена (поле Доменное имя LDAP или IP-адрес).

  • Bind DN («логин») в формате DOMAIN\username или username@domain для подключения к серверу LDAP. Данный пользователь уже должен быть заведен в домене.

  • Пароль пользователя для подключения к домену.

image51

Добавьте доменное имя LDAP во вкладке Домены LDAP.

image52

После внесения настроек нажмем на кнопку Проверить соединение. Если настройки внесены верно, получим сообщение об успехе.

Во вкладке Kerberos keytab можно загрузить keytab-файл. Загрузка keytab-файла не является обязательной, но наличие keytab-файла желательно, т.к. keytab снимает значительную часть нагрузки с AD и ускоряет его работу.

image53

Сохраните настройки LDAP коннектора, нажав на кнопку Сохранить.

  1. Создать NTLM - сервер авторизации.

В разделе Пользователи и устройства ➜ Серверы авторизации создайте NTLM-сервер (Добавить ➜ Добавить NTLM-сервер). Укажите следующие данные:

  • Название сервера авторизации.

  • Описание (опционально).

  • IP-адрес контроллера домена.

  • Домен Windows: укажите IP-адрес контроллера домена.

image54

Сохраните настройки NTLM-сервера нажатием кнопки Сохранить.

  1. Создать профиль авторизации для NTLM-сервера.

Создайте профиль авторизации в разделе Пользователи и устройства ➜ Профили авторизации.

Укажите:

  • Название профиля авторизации.

  • Метод аутентификации в одноимённой вкладке.

image55

Сохраните настройки профиля авторизации.

  1. Создать Captive-профиль.

В разделе Пользователи и устройства ➜ Captive-профили создайте Captive-профиль. Укажите:

  • Название captive-профиля.

  • Профиль авторизации: выберете ранее созданный NTLM профиль.

image56

Сохраните настройки Captive-профиля.

  1. Создать правило Captive-портала для NTLM авторизации.

В разделе Пользователи и устройства ➜ Captive-портал нажмите кнопку Добавить и укажите:

  • Название правила captive-портала.

  • Captive-профиль, созданный ранее.

  1. Произведите настройки на компьютере пользователя.

Настройка прокси-сервера для авторизации в стандартном режиме.

Перейдите Панель управления ➜ Cеть и Интернет ➜ Свойства браузера Подключения ➜ Настройка сети Прокси-сервер и укажите IP-адрес и порт интерфейса UserGate, к которому будут подключены пользователи.

Настройка авторизации в прозрачном режиме.

Для работы в прозрачном режиме авторизации перейдите в Панель управления ➜ Cеть и Интернет ➜ Свойства браузера ➜ Безопасность ➜ Интернет. В разделе Уровень безопасности для этой зоны нажмите кнопку Другой и в параметрах безопасности в разделе Проверка подлинности пользователя ➜ Вход установите Автоматический вход в сеть с текущим именем пользователя и паролем.

image58

Перейдите в Панель управления ➜ Cеть и Интернет ➜ Свойства браузера ➜ Дополнительно. Отметьте чекбокс Разрешить встроенную проверку подлинности Windows.

Проверка авторизации NTLM.

Для проверки работы NTLM-авторизации в браузере пользователя перейдите на сайт, например, ya.ru. Далее на UserGate перейдите во вкладку Журналы и отчёты в раздел Журналы ➜ Журнал веб-доступа. В журнале видно, что запрос происходит от доменного пользователя.

image59

Настройка браузера Firefox для авторизации NTLM

Для корректной авторизации пользователей, использующих браузер Firefox, с помощью NTLM необходимо в браузере перейти по адресу about:config и указать значение вашего домена Active Directory в следующих конфигурационных параметрах:

  • network.automatic-ntlm-auth.trusted-uris

На картинке ниже показаны измененные значения этих параметров для домена AD lab.demo:

image60

Эта статья была:   Полезна | Не полезна
Сообщить об ошибке
ID статьи: 16
Последнее обновление: 25 авг, 2023
Ревизия: 15
Просмотры: 6095
Комментарии: 0
Теги

Также опубликовано в