Для отправки почтового сообщения у каждого пользователя должен быть указан адрес электронной почты в его локальной учетной записи в UserGate или в доменной учетной записи в Active Directory.

Для локального пользователя UserGate необходимо перейти в свойства пользователя в разделе Пользователи и устройства ➜ Пользователи и указать почтовые адреса в одноимённой вкладке.

Для доменной учетной записи добавить адрес электронной почты необходимо в свойствах пользователя во вкладке Общие.

Создать профиль оповещения по электронной почте.

Для создания профиля оповещения перейдите в раздел Библиотеки ➜ Профили оповещений и выберите Добавить ➜ Добавить профиль оповещения SMTP. Далее укажите необходимы данные.

Для проверки нажмите на кнопку Проверить профиль и отправьте проверочное письмо, предварительно заполнив поля Отправитель, Получатель, Тема и Тело письма. Сохраните настройки, если проверочное письмо было получено адресатом.

Использование мультифакторной авторизации с подтверждением через email на примере авторизации пользователей домена AD.

Добавить сервер авторизации.

Перейдите в раздел Пользователи и устройства ➜ Серверы авторизации и добавьте LDAP коннектор (нажмите Добавить ➜ Добавить LDAP коннектор).

В свойствах коннектора LDAP укажите необходимые данные.

Во вкладке Настройки:

Название сервера авторизации.
Доменное имя LDAP или IP-адрес - IP-адрес сервера контроллера домена.
Bind DN («логин») - имя доменного пользователя в формате DOMAIN\username или username@domain для подключения к серверу LDAP. Данный пользователь уже должен быть заведен в домене.
Пароль пользователя для подключения к домену.

Во вкладке Домены LDAP укажите доменное имя LDAP.

Во вкладке Kerberos keytab можно загрузить keytab-файл. Загрузка keytab-файла не является обязательной, но наличие keytab-файла желательно, т.к. keytab снимает значительную часть нагрузки с AD и ускоряет его работу.

После внесения настроек нажмите на кнопку Проверить соединение. Если настройки внесены верно, то появится следующее сообщение:

Сохраните настройки LDAP коннектора.

Создать профиль для мультифакторной аутентификации.

Перейдите в раздел Пользователи и устройства ➜ Профили MFA, нажатием на кнопку Добавить ➜ MFA через email перейдите в свойства профиля MFA и укажите следующую информацию.

Название профиля MFA.
Профиль отправки MFA: ранее созданный профиль оповещения по электронной почте.
От: адрес электронной почты пользователя, указанного в профиле оповещения MFA.
Тема письма.
Содержимое письма.

Сохраните настройки профиля MFA нажатием кнопки Сохранить.

Создать профиль авторизации.

Перейдите в раздел Пользователи и устройства ➜ Профили авторизации и добавьте профиль авторизации. В свойствах профиля укажите необходимую информацию.

Название профиля авторизации.
Созданный ранее Профиль MFA.

Во вкладке Методы аутентификации укажите ранее созданный LDAP коннектор: Добавить ➜ Сервер LDAP/Active Directory: AD Connector и сохраните настройки профиля авторизации.

Мультифакторная авторизация возможна только с методами аутентификации, позволяющими ввести пользователю одноразовый пароль, то есть только те, где пользователь явно вводит свои учетные данные в веб-форму страницы авторизации. В связи с этим, мультифакторная авторизация невозможна для методов аутентификации Kerberos и NTLM.

Создать Captive-профиль.

Для создания профиля перейдите в раздел Пользователи и устройства ➜ Captive-профили, нажмем на кнопку Добавить. Укажите необходимые данные:

Название captive-профиля.
Выберите Шаблон страницы авторизации.
В поле Метод идентификации укажите Запоминать IP-адрес.
Ранее созданный Профиль авторизации.

Если для авторизации пользователей используется LDAP коннектор, то можно активировать функцию «Предлагать выбор домена AD/LDAP на странице авторизации».

Сохраните настройки captive-профиля.

Создать правило Captive-портала.

Для создания правила captive-портала перейдите в раздел Пользователи и устройства ➜ Captive-портал и нажмите кнопку Добавить. В свойствах правила captive-портала укажите следующую информацию:

Название captive-портала.
Ранее созданный captive-профиль.

Вкладки Источник, Назначение, Категории, URL, Время, можно настраивать для задания дополнительных условий выполнения правила. Правила применяются сверху вниз в том порядке, в котором совпали условия, указанные в правиле. Для срабатывания правила необходимо, чтобы совпали все условия, указанные в параметрах правила.

Настроить DNS для доменов auth.captive и logout.captive.

Служебные доменные имена auth.captive и logout.captive используется UserGate для авторизации пользователей. Если клиенты используют в качестве DNS-сервера сервер UserGate, то ничего делать не надо. В противном случае необходимо прописать в качестве IP-адреса для этих доменов IP-адрес интерфейса сервера UserGate, который подключен в клиентскую сеть.

Проверить работу мультифакторной авторизации.

В браузере пользователя перейдите на сайт, например, ya.ru: отобразится страница авторизации captive-портала:

После ввода логина и пароля появится окно для ввода дополнительного кода аутентификации, который придет на электронную почту, указанную в свойстве профиля пользователя: