Product: SWG
Version: 7.5.x
Captive-портал позволяет аутентифицировать неизвестных пользователей с помощью методов аутентификации с использованием каталогов Active Directory, Radius, TACACS+, SAML IDP, Kerberos, NTLM или локальной базы пользователей. Кроме этого, с помощью Captive-портала можно настроить самостоятельную регистрацию пользователей с подтверждением идентификации через SMS или e-mail.
Следует помнить, что:
-
Идентифицированные пользователи, например пользователи, у которых в свойствах явно указан IP-адрес, или пользователи, идентифицированные с помощью агентов авторизации терминальных серверов, не аутентифицируются на Captive-портале. Такие пользователи уже относятся к типу Known users и не требуют дополнительной идентификации.
-
Аутентификация с помощью Captive-портала возможна только для протокола HTTPS. Например, если вы создали правило межсетевого экрана, разрешающее доступ в интернет по протоколу FTP только для пользователей Known users, то пользователи не смогут получить доступ в интернет по этому протоколу до тех пор, пока они не станут идентифицированными, то есть не запустят у себя браузер и не пройдут аутентификацию на Captive-портале.
-
Необходимо настроить инспектирование SSL, иначе аутентификация по протоколу HTTPS работать не будет.
-
Если Captive-портал использует метод аутентификации Active Directory, то пользователь должен указывать в качестве логина свое доменное имя в формате DOMAIN\username или username@domain.
Для настройки Captive-портала:
1. Создайте метод аутентификации, например аутентификацию с помощью домена Active Directory. В веб-консоли UserGate SWG в разделе Настройки ➜ Пользователи и устройства ➜ Серверы аутентификации нажмите Добавить и создайте сервер аутентификации.
2. Создайте профиль аутентификации, в котором укажите необходимые методы аутентификации. В веб-консоли UserGate SWG в разделе Настройки ➜ Пользователи и устройства ➜ Профили аутентификации нажмите Добавить и создайте профиль аутентификации, используя созданный ранее метод аутентификации.
3. Создайте Captive-профиль, в котором укажите необходимые профили аутентификации. В веб-консоли UserGate SWG в разделе Настройки ➜ Пользователи и устройства ➜ Captive-профили нажмите Добавить и создайте Captive-профиль, используя созданный ранее профиль аутентификации.
4. Создайте правило Captive-портала. Правило Captive-портала определяет трафик, к которому должны быть применены методы аутентификации пользователей, указанные в Captive-профиле. В веб-консоли UserGate SWG в разделе Настройки ➜ Пользователи и устройства ➜ Captive-портал нажмите Добавить и создайте правило Captive-портала.
5. Настройте DNS для доменов auth.captive и logout.captive. Служебные доменные имена auth.captive и logout.captive используются в UserGate SWG для аутентификации пользователей. Если клиенты не используют UserGate SWG в качестве DNS-сервера необходимо прописать в качестве IP-адреса для этих доменов IP-адрес интерфейса UserGate SWG, который подключен в клиентскую сеть. Альтернативное решение — настроить параметры «Домен auth captive-портала» и «Домен logout captive-портала». Подробнее об этих параметрах — в разделе «Общие настройки».
При создании Captive-профиля укажите следующие параметры.
|
Параметр
|
Описание
|
|
Название
|
Название Captive-профиля
|
|
Описание
|
Описание Captive-профиля
|
|
Шаблон страницы авторизации
|
Выбор шаблона страницы аутентификации. Создавать страницы аутентификации можно в разделе Настройки ➜ Библиотеки ➜ Шаблоны страниц. Если необходимо настроить самостоятельную регистрацию пользователей с подтверждением по SMS или e-mail, следует выбрать соответствующий тип шаблона (Captive portal: SMS auth/ Captive portal: Email auth)
|
|
Метод идентификации
|
Метод, с помощью которого UserGate SWG сохраняет данные о пользователе. Возможные варианты:
-
Запоминать IP-адрес. После успешной аутентификации пользователя через Captive-портал UserGate SWG запоминает IP-адрес пользователя. Все последующие соединения с этого IP-адреса будут относятся к данному пользователю. Такой метод позволяет идентифицировать данные, передаваемые по любому из протоколов семейства TCP/IP, но не будет корректно работать при наличии NAT-подключения между пользователями и UserGate SWG. Это рекомендуемое значение параметра, устанавливаемое по умолчанию.
-
Запоминать cookie. После успешной аутентификации пользователя через Captive-портал UserGate SWG добавляет в браузер пользователя cookie, с помощью которых идентифицирует последующие соединения данного пользователя. Такой метод позволяет аутентифицировать пользователей, находящихся за NAT-устройством, но аутентифицируется только протокол HTTP(S) и только в том браузере, в котором происходила аутентификация через Captive-портал. Кроме этого, для аутентификации HTTPS-сессий пользователя UserGate SWG будет принудительно дешифровать все HTTPS-соединения. Для правил межсетевого экрана пользователь, идентифицированный по cookie, будет всегда определен как Unknown user
|
|
Профиль аутентификации
|
Созданный ранее профиль аутентификации, определяющий методы аутентификации
|
|
Режим аутентификации
|
Аутентификация с помощью логина и пароля через RADIUS сервер (AAA) или посредством сертификатов (PKI)
|
|
Профиль сертификата пользователя
|
При выборе режима аутентификации посредством сертификатов необходимо указать сконфигурированный ранее профиль пользовательских сертификатов
|
|
URL для редиректа
|
URL, куда будет перенаправлен пользователь после успешной аутентификации с помощью Captive-портала. Если не заполнено, то пользователь переходит на запрошенный им URL
|
|
Разрешить браузерам запомнить авторизацию
|
Разрешение сохранять аутентификацию в браузере на указанное время в часах. Для сохранения аутентификационной информации используются cookie
|
|
Предлагать выбор домена AD/LDAP на странице авторизации Captive-портала
|
Если в качестве метода аутентификации используется аутентификация с помощью Active Directory, то при включении данного параметра пользователь сможет выбрать имя домена из списка на странице аутентификации. Если этот параметр не включен, пользователь должен явно указывать домен в виде DOMAIN\username или username@domain
|
|
Показывать CAPTCHA
|
При включении этой опции пользователю будет предложено ввести код, который ему будет показан на странице аутентификации Captive-портала. Рекомендуемая опция для защиты от ботов, подбирающих пароли пользователей
|
Для настройки самостоятельной регистрации пользователей с подтверждением пароля с помощью SMS или e-mail необходимо настроить параметры на вкладке Регистрация гостевых пользователей. Следует помнить, что в этом случае необходимо использовать соответствующий тип шаблона (Captive portal: SMS auth/ Captive portal: Email auth).
|
Параметр
|
Описание
|
|
Профиль оповещения
|
Профиль оповещения, который будет использоваться для отсылки информации о созданном пользователе и его пароле. Может использоваться два типа профилей — SMS и email. Подробнее о создания профилей оповещения — в разделе «Профили оповещений»
|
|
От
|
Указать, от имени кого будут отправляться оповещения
|
|
Тема оповещения
|
Тема оповещения (только для email-оповещений)
|
|
Письмо оповещения
|
Тело письма сообщения. В письме можно использовать специальные переменные {login} и {password}, которые будут заменены на имя пользователя и его пароль
|
|
Дата и время окончания
|
Время, когда учетная запись временного пользователя будет отключена
|
|
Время жизни
|
Продолжительность времени с момента первой аутентификации временного пользователя, по истечении которого его учетная запись будет отключена
|
|
Длина пароля
|
Длина пароля для создаваемого пользователя
|
|
Сложность пароля
|
Сложность пароля для создаваемого пользователя. Возможные варианты:
|
|
Группы
|
Группа для временных пользователей, в которую будут помещены создаваемые пользователи
|
При создании правила Captive-портала укажите следующие параметры.
|
Параметр
|
Описание
|
|
Название
|
Название правила Captive-портала
|
|
Описание
|
Описание правила Captive-портала
|
|
Captive-профиль
|
Выбрать Captive-профиль, созданный ранее. Доступно действие Не использовать аутентификацию, при выборе которого аутентификация не будет требоваться
|
|
Записывать в журнал правил
|
При активации этой опции информация о срабатывании правила будет регистрироваться в соответствующем журнале статистики
|
|
Источник
|
Адреса источника. В качестве источника можно указать определенную зону, например зону LAN и диапазон адресов IP. Могут быть использованы GeoIP
Важно! Существует ограничение на количество GeoIP, которое может быть указано: не более 15.
Важно! Обработка трафика происходит по следующей логике:
-
условия объединяются по ИЛИ, если указаны несколько списков IP-адресов и/или доменов;
-
условия объединяются по И, если указаны GeoIP и списки IP-адресов и/или доменов.
|
|
Назначение
|
Адреса назначения. В качестве адресов можно указать определенную зону, например зону WAN и диапазон адресов IP. Могут быть использованы GeoIP
Важно! Существует ограничение на количество GeoIP, которое может быть указано: не более 15.
Важно! Обработка трафика происходит по следующей логике:
-
условия объединяются по ИЛИ, если указаны несколько списков IP-адресов и/или доменов;
-
условия объединяются по И, если указаны GeoIP и списки IP-адресов и/или доменов.
|
|
Категории
|
Категории URL-фильтрации, для которых будет применяться правило. Для URL-фильтрации необходимо иметь соответствующую лицензию
|
|
URL
|
Списки URL, для которых будет применяться правило
|
|
Время
|
Время, когда правило будет активно
|
|
Использование
|
Статистика срабатывания правила: общее количество срабатываний, время первого и последнего срабатываний.
Чтобы сбросить счётчик срабатываний, отметьте правила в списке и нажмите Сбросить счётчики
|
|
История
|
Время создания и последнего изменения правила, а также записи журнала событий, относящиеся к данному правилу
|
Таким образом, создав несколько правил Captive-портала, можно настроить различные политики идентификации пользователей для различных зон, адресов, категорий сайтов и времени.
ПримечаниеУсловия, указанные на вкладках правила, применяются согласно логике “И”, то есть требуют совпадения всех указанных условий для того, чтобы правило сработало. Если необходимо использовать логику “ИЛИ”, необходимо создать несколько правил.
ПримечаниеПравила применяются в порядке, в котором они отображаются в консоли. Вы можете изменить порядок правил, нажав соответствующие значки в консоли.
ПримечаниеПри обработке правил применяется только первое сработавшее правило.
В случае, если необходимо сменить пользователя после его аутентификации в системе или выйти из системы, необходимо перейти на URL http://logout.captive и нажать Выйти.
