Рассматривается пример, когда пользователям в локальной сети для авторизации необходимо предоставить доступ к серверу Active Directory, который находится в другой сети (Remote Network) за сторонним шлюзом безопасности (Secirity GW). Security GW предоставляет доступ в сеть Remote Network только с определенного IP-адреса: 172.172.172.50.

Схема сети

Описание

Предполагается, что зоны и интерфейсы на UserGate NGFW корректно настроены в соответствии со схемой.

Для настройки LDAP коннектора необходимо выполнить следующие шаги:

В разделе Библиотеки ➜ IP-адреса создать список UG_IP с адресом внешнего интерфейса UserGate NGFW (192.168.1.2):

В разделе Библиотеки ➜ IP-адреса создать список Remote Network с адресом сети, где расположен сервер Active Directory:

В разделе Сеть ➜ Виртуальные маршрутизаторы создать статический маршрут в сеть Remote Network. В качестве шлюза указать внешний IP-адрес Security GW:

В разделе Политика сети ➜ NAT и маршрутизация создать правило NAT для доступа пользователей локальной сети в сеть Remote Network. В качестве SNAT IP-адреса указать разрешенный на Security GW адрес для доступа к ресурсам Remote Network (172.172.172.50):

В качестве адреса назначения указать созданный ранее список с IP-адресом сети Remote Network:

В разделе Политика сети ➜ NAT и маршрутизация создать правило NAT для LDAP коннектора. В качестве SNAT IP-адреса указать разрешенный на Security GW адрес для доступа к ресурсам Remote Network (172.172.172.50):

В качестве адреса источника для правила NAT указать созданный ранее список с IP-адресом внешнего интерфейса UserGate NGFW:

В качестве адреса назначения для правила NAT указать созданный ранее список с IP-адресом сети Remote Network:

В разделе Пользователи и устройства ➜ Серверы аутентификации создать LDAP коннектор. Указать IP-адрес сервера Active Directory. Указать созданные заранее на сервере Active Directory логин и пароль для LDAP коннектора.