Применение к пользователям политик UserGate

ID статьи: 571
Последнее обновление: 08 апр, 2024
KnowledgeBase:
Product: UserGate NGFW
Version: 6.x, 7.x
Technology: Identification and Authentication

В данном разделе в общем будут рассмотрены алгоритмы аутентификации пользователей на UserGate и условия применения политик.

Аутентификация локальных пользователей

Если на UserGate настроена аутентификация локальных пользователей, то возможны следующие случаи:

1. Аутентификация по явно указанному IP-адресу. IP-адрес указывается во вкладке Статические IP/MAC/VLAN свойств пользователя в разделе Пользователи и устройства ➜ Пользователи. В этом случае пользователь считается аутентифицированным на UserGate.

2. Аутентификация по логину/паролю. При получении от неизвестного клиента HTTP-запроса UserGate перенаправляет его на страницу аутентификации captive-портала.

Политики применятся к локальным пользователям автоматически.

Аутентификация на серверах RADIUS, TACACS+

При получении от неизвестного клиента HTTP-запроса UserGate перенаправляет его на страницу аутентификации captive-портала. Пользователь вводит логин/пароль, а UserGate отправляет данные на сервер (RADIUS или TACACS+) для проверки их корректности.

Аутентификация через LDAP-коннектор

1. LDAP-коннектор с загруженным keytab. При получении от неизвестного клиента HTTP-запроса UserGate перенаправляет его на страницу аутентификации captive-портала. Пользователь вводит логин/пароль, UserGate получает Kerberos-тикет для данного пользователя и расшифровывает его с помощью загруженного keytab-файла.

2. LDAP-коннектор без загруженного keytab. При получении от неизвестного клиента HTTP-запроса UserGate перенаправляет его на страницу аутентификации captive-портала. Пользователь вводит логин/пароль, UserGate посылает LDAP-запрос на сервер аутентификации для проверки корректности введённых логина и пароля.

ПримечаниеПользователи должны состоять в группе Domain Users (идентификатор группы: 513).

Аутентификация Kerberos

При получении от неизвестного клиента HTTP-запроса UserGate отправляет клиенту сообщение HTTP 401 или HTTP 407 с требованием аутентификации.

При явно указанном прокси, получая от клиента HTTP-запрос, UserGate отвечает сообщением HTTP 407 (Proxy Authentication Required).

При прозрачном проксировании UserGate перехватывает HTTP-запрос от клиента и отправляет сообщение HTTP 302, указывая в Location auth домен captive-портала. При получении от клиента GET на auth домен captive-портала UserGate отвечает сообщением HTTP 401 (Unauthorized).

Получив ответ от UserGate, пользователь обращается в центр распределения ключей своей сети (KDC) с целью получения для своих учётных данных Kerberos-тикета. Затем полученный Kerberos-тикет пользователь отправляет на сервер UserGate, который расшифровывает его с помощью загруженного keytab. UserGate записывает в базу данных имя и IP-адрес пользователя и просматривает группы LDAP, указанные в тикете. Если указанные группы LDAP используются в политиках UserGate, то UserGate добавит эти группы к информации о пользователе, если нет, то информация об этих группах не будет записана в базу данных.

Аутентификация NTLM

При получении от неизвестного клиента HTTP-запроса UserGate отправляет клиенту сообщение HTTP 401 или HTTP 407 с требованием аутентификации.

При явно указанном прокси, получая от клиента HTTP-запрос, UserGate отвечает сообщением HTTP 407 (Proxy Authentication Required).

При прозрачном проксировании UserGate перехватывает HTTP-запрос от клиента и отправляет сообщение HTTP 302, указывая в Location auth домен captive-портала. При получении от клиента GET на auth домен captive-портала UserGate отвечает сообщением HTTP 401 (Unauthorized).

Получив ответ от UserGate, пользователь отправляет данные для аутентификации на сервер UserGate. UserGate пересылает их на контроллер домена. В случае корректности логина/пароля считаем пользователя аутентифицированным.

Применение политик к пользователям, проходящим аутентификацию через LDAP-коннектор и по NTLM

Для применения политик (в случаях добавления новой LDAP-группы или пользователя в группу, создания правила и применения его к группе LDAP) к пользователям, аутентифицирующимся через LDAP-коннектор или NTLM, необходимо:

1. Выполнить logout на UserGate.

Для выполнения logout пользователю необходимо перейти на страницу Logout captive-портала и нажать Выйти/Logout.

Сбросить аутентификацию всех пользователей можно в разделе Пользователи и устройства ➜ Серверы аутентификации (кнопка Сбросить аутентификацию всех пользователей) веб-интерфейса UserGate. Также можно сбросить сессии отдельных пользователей с помощью интерфейса командной строки (CLI); для выполнения команды необходимо знать IP-адрес пользователя (<IP-address>):

  • UserGate NGFW 6.x.x:

    UTM> usersession terminate -ipv4 <IP-address>

  • UserGate NGFW 7.0.x:

    Admin@UGOS# execute terminate usersession <IP-address>

  • UserGate NGFW 7.1.x:

    Admin@nodename# execute termination user-sessions ip <IP-address>

2. Очистить кэш LDAP-записей на UserGate.

Очистка доступна через интерфейс командной строки (CLI), используйте команду:

  • UserGate NGFW 6.x.x:

    UTM> cache ldap-clear

  • UserGate NGFW 7.x.x:

    Admin@UGOS# execute cache ldap-clear

3. Пройти аутентификацию на UserGate.

Применение политик к пользователям, проходящим аутентификацию по Kerberos

Для применения политик (в случаях добавления новой LDAP-группы или пользователя в группу, создания правила и применения его к группе LDAP) к пользователям, аутентифицирующимся по Kerberos, необходимо:

1. Выполнить logout на UserGate.

Для выполнения logout пользователю необходимо перейти на страницу Logout captive-портала и нажать Выйти/Logout.

Сбросить аутентификацию всех пользователей можно в разделе Пользователи и устройства ➜ Серверы аутентификации (кнопка Сбросить аутентификацию всех пользователей) веб-интерфейса UserGate. Также можно сбросить сессии отдельных пользователей с помощью интерфейса командной строки (CLI); для выполнения команды необходимо знать IP-адрес пользователя (<IP-address>):

  • UserGate NGFW 6.x.x:

    UTM> usersession terminate -ipv4 <IP-address>

  • UserGate NGFW 7.0.x:

    Admin@UGOS# execute terminate usersession <IP-address>

  • UserGate NGFW 7.1.x:

    Admin@nodename# execute termination user-sessions ip <IP-address>

2. Получить новый Kerberos-тикет с обновлённым списком LDAP-групп. Для обновления тикета необходимо, например, повторно аутентифицироваться на клиентском компьютере.

3. Очистить кэш LDAP-записей на UserGate.

Очистка доступна через интерфейс командной строки (CLI), используйте команду:

  • UserGate NGFW 6.x.x:

    UTM> cache ldap-clear

  • UserGate NGFW 7.x.x:

    Admin@UGOS# execute cache ldap-clear

4. Пройти аутентификацию на UserGate.

Эта статья была:   Полезна | Не полезна
Сообщить об ошибке
ID статьи: 571
Последнее обновление: 08 апр, 2024
Ревизия: 8
Просмотры: 5623
Комментарии: 0
Теги