Настройка раздела Пользователи и устройства
 
Настройка групп пользователей

Настройка групп пользователей производится на уровне users group.

Для добавления новой группы пользователей используется команда:

Admin@UGOS# create users group

Возможно указать следующие параметры:

Параметр

Описание

name

Название группы пользователей.

description

Описание группы пользователей.

transient

Указать:

  • on — группа для гостевых пользователей.

  • off — не является группой для гостевых пользователей.

users

Добавление пользователей в группу.

ldap-users

Добавление пользователей LDAP. При добавлении пользователей LDAP необходимо указать LDAP-коннектор (ldap-users connector <ldap-server-name> users + [ <domain\user1> domain\user2> ... ]).

Для обновления информации о группе пользователей необходимо воспользоваться следующей командой (параметры, доступные для обновления, аналогичны с параметрами, доступными при создании группы):

Admin@UGOS# set users group <group-name>

С использованием следующих команд можно удалить группу пользователей или отдельных пользователей группы:

Admin@UGOS# delete users group <group-name>

Для удаления локальных пользователей:

Admin@UGOS# delete users group <group-name> users [ <user1> <user2> ... ]

Для удаления пользователей LDAP:

Admin@UGOS# delete users group <group-name> ldap-users connector <ldap-server-name> users [ <domain\user1> <domain\user2> ... ]

Для отображения настроек группы используется следующая команда:

Admin@UGOS# show users group <group-name>

Настройки пользователей

Настройка пользователей производится на уровне users user.

Команда для добавления пользователей:

Admin@UGOS# create users user

Доступно указание следующих параметров:

Параметр

Описание

enabled

Включение/отключение пользователя.

name

Имя пользователя.

login

Логин пользователя — для идентификации по имени и паролю. В этом случае потребуется настроить Captive-портал, где пользователь сможет ввести данное имя и пароль для авторизации.

password

Пароль пользователя — для идентификации по имени и паролю. В этом случае потребуется настроить Captive-портал, где пользователь сможет ввести данное имя и пароль для авторизации.

expiration-date

Срок действия учётной записи пользователя. Указывается в формате YYYY-MM-DD.

groups

Группы, в которые будет добавлен пользователь.

static-addresses

Указываются:

  • ip: IP-адреса для идентификации пользователя; пользователь всегда должен получать доступ в сеть с указанных адресов.

  • mac: МАС-адреса для идентификации пользователей; пользователь всегда должен получать доступ в сеть с указанных адресов.

  • ip-range: диапазон IP-адресов для идентификации пользователя; пользователь всегда должен получать доступ в сеть с адреса из указанного диапазона. Диапазон задаётся в формате: <IP_start-IP_end>.

  • ip-mac: идентификация пользователя с помощью комбинации MAC и IP-адресов; пользователь всегда должен получать доступ в сеть с указанных адресов. Указывается в формате <ip-mac>.

emails

Почтовые адреса пользователя.

phones

Номера телефонов пользователя.

Для обновления параметров учётной записи пользователя:

Admin@UGOS# set users user <user-name>

Список доступных параметров аналогичен списку параметров, доступному при создании учётной записи пользователя.

Для удаления учётной записи пользователя используется следующая команда:

Admin@UGOS# delete users user <user-login>

Также имеется возможность удаления определённой информации из учётной записи. Для удаления доступны (при удалении требуется ввод значения параметра):

  • groups.

  • static-addresses.

  • emails.

  • phones.

Команда для просмотра учётной записи пользователя:

Admin@UGOS# show users user <user-name>

Настройка серверов аутентификации

Раздел Серверы аутентификации позволяет произвести настройку LDAP-коннектора, серверов RADIUS, TACACS+, NTLM, SAML IDP. Настройка серверов аутентификации производится на уровне users auth-servers и будет рассмотрена далее в соответствующих разделах.

Для сброса авторизации пользователя по IP-адресу используется команда:

Admin@UGOS# set settings usersession terminate <ip>

Настройка LDAP-коннектора

Настройка LDAP-коннектора производится на уровне users auth-servers ldap.

Для создания LDAP-коннектора используется команда:

Admin@UGOS# create users auth-servers ldap

Далее необходимо указать следующие параметры:

Параметр

Описание

name

Имя LDAP-коннектора.

enabled

Включение/отключение сервера аутентификации.

description

Описание LDAP-коннектора.

ssl

Определяет:

  • on — использование SSL-соединения для подключения к LDAP-серверу.

  • off — подключение к LDAP-серверу без использования SSL-соединения.

address

IP-адрес контроллера или название домена LDAP.

bind-dn

Имя пользователя, которое будет использоваться для подключения к серверу; указывается в формате DOMAIN\username или username@domain. Пользователь должен быть заведён в домене.

password

Пароль пользователя для подключения к домену.

domains

Список доменов, которые обслуживаются указанным контроллером домена.

search-roots

Список путей в сервере LDAP, начиная с которых система будет осуществлять поиск пользователей и групп. Необходимо указывать полное имя, например, ou=Office,dc=example,dc=com. Если пути поиска не указаны, то поиск производится по всему каталогу, начиная от корня.

Команда для обновления информации о существующем LDAP-коннекторе имеет следующую структуру:

Admin@UGOS# set users auth-servers ldap <ldap-server-name>

Параметры, доступные для обновления, аналогичны параметрам создания LDAP-коннектора.

Для удаления LDAP-коннектора используется команда:

Admin@UGOS# delete users auth-servers ldap <ldap-server-name>

Также возможно удаления отдельных параметров LDAP-коннектора. Для удаления доступны следующие параметры:

  • domains.

  • search-roots.

Структура команды для отображения информации о LDAP-коннекторе:

Admin@UGOS# show users auth-servers ldap <ldap-server-name>

Настройка RADIUS-сервера

Настройка RADIUS-сервера производится на уровне users auth-servers radius.

Для создания сервера аутентификации RADIUS используется команда со следующей структурой:

Admin@UGOS# create users auth-servers radius

Далее необходимо указать следующие параметры:

Параметр

Описание

name

Имя RADIUS-сервера.

enabled

Включение/отключение сервера аутентификации.

description

Описание сервера аутентификации.

secret

Общий ключ, используемый протоколом RADIUS для аутентификации.

addresses

IP-адрес и UDP-порт, на котором сервер RADIUS слушает запросы (по умолчанию порт 1812); указывается в формате <ip:port>.

Следующая команда используется для обновления информации о сервере RADIUS:

Admin@UGOS# set users auth-servers radius <radius-server-name>

Параметры, которые могут быть обновлены, соответствуют параметрам, указание которых возможно при создании сервера аутентификации.

Для удаления сервера:

Admin@UGOS# delete users auth-servers radius <radius-server-name>

Также возможно удаления отдельных параметров RADIUS-сервера. Для удаления доступны следующие параметры:

  • addresses.

Структура команды для отображения информации о RADIUS-сервере:

Admin@UGOS# show users auth-servers radius <radius-server-name>

Настройка сервера TACACS+

Настройка сервера TACACS+ производится на уровне users auth-servers tacacs.

Для создания сервера аутентификаци TACACS+ используется команда со следующей структурой:

Admin@UGOS# create users auth-servers tacacs

Далее необходимо указать следующие параметры:

Параметр

Описание

name

Имя сервера TACACS+.

enabled

Включение/отключение сервера.

description

Описание сервера аутентификации.

secret

Общий ключ, используемый протоколом TACACS+ для аутентификации.

address

IP-адрес сервера TACACS+.

port

UDP-порт, на котором сервер TACACS+ слушает запросы на аутентификацию. По умолчанию это порт UDP 1812.

single-connection

Использовать одно TCP-соединение для работы с сервером TACACS+.

timeout

Время ожидания сервера TACACS+ для получения аутентификации. По умолчанию 4 секунды.

Следующая команда используется для обновления информации о сервере TACACS+:

Admin@UGOS# set users auth-servers tacacs <tacacs-server-name>

Параметры, которые могут быть обновлены, соответствуют параметрам, указание которых возможно при создании сервера аутентификации.

Для удаления сервера:

Admin@UGOS# delete users auth-servers tacacs <tacacs-server-name>

Структура команды для отображения информации о сервере TACACS+:

Admin@UGOS# show users auth-servers tacacs <tacacs-server-name>

Настройка сервера NTLM

Настройка сервера NTLM производится на уровне users auth-servers ntlm.

Для создания сервера аутентифификации NTLM используется команда со следующей структурой:

Admin@UGOS# create users auth-servers ntlm

Далее необходимо указать следующие параметры:

Параметр

Описание

name

Имя NTLM-сервера.

enabled

Включение/отключение сервера аутентификации.

description

Описание сервера аутентификации.

win-domain

Имя домена Windows.

Следующая команда используется для обновления информации о NTLM-сервере:

Admin@UGOS# set users auth-servers ntlm <ntlm-server-name>

Параметры, которые могут быть обновлены, аналогичны с параметрами команды создания сервера аутентификации.

Для удаления сервера:

Admin@UGOS# delete users auth-servers ntlm <ntlm-server-name>

Структура команды для отображения информации о сервере NTLM:

Admin@UGOS# show users auth-servers ntlm <ntlm-server-name>

Настройка сервера SAML IDP

Настройка сервера SAML IDP производится на уровне users auth-servers saml-idp.

Для создания сервера аутентификации SAML IDP используется следующая команда:

Admin@UGOS# create users auth-servers saml-idp

Далее необходимо указать следующие параметры:

Параметр

Описание

name

Название сервера SAML IDP.

enabled

Включение/отключение сервера аутентификации.

description

Описание сервера аутентификации.

metadata-url

URL на сервере SAML IDP, где можно скачать xml-файл с корректной конфигурацией для сервис-провайдера (клиента) SAML.

certificate

Сертификат, который будет использован в SAML-клиенте.

sso-url

URL, используемая в сервере SAML IDP в качестве единой точки входа. Смотрите документацию на используемый у вас сервер SAML IDP для более детальной информации.

sso-binding

Метод, используемый для работы с единой точкой входа SSO. Возможны варианты POST и Redirect. Смотрите документацию на используемый у вас сервер SAML IDP для более детальной информации.

slo-url

URL, используемый в сервере SAML IDP в качестве единой точки выхода. Смотрите документацию на используемый у вас сервер SAML IDP для более детальной информации.

slo-binding

Метод, используемый для работы с единой точкой выхода SSO. Возможны варианты POST и Redirect. Смотрите документацию на используемый у вас сервер SAML IDP для более детальной информации.

Следующая команда используется для обновления информации о сервере SAML IDP:

Admin@UGOS# set users auth-servers saml-idp <saml-idp-server-name>

Параметры, которые могут быть обновлены, аналогичны с параметрами команды создания сервера аутентификации.

Для удаления сервера:

Admin@UGOS# delete users auth-servers saml-idp <saml-idp-server-name>

Структура команды для отображения информации о сервере SAML IDP:

Admin@UGOS# show users auth-servers saml-idp <saml-idp-server-name>
Настройка профилей аутентификации

Настройка профилей аутентификации производится на уровне users auth-profile.

Для создания профиля аутентификации используется следующая команда:

Admin@UGOS# create users auth-profile

Далее необходимо указать следующие параметры:

Параметр

Описание

name

Название профиля MFA.

description

Описание профиля MFA.

mfa

Указание профиля мультифакторной аутентификации (если её необходимо использовать). Для указания профиль MFA должен быть создан заранее. Подробнее о создании профилей MFA с использованием интерфейса командной строки читайте в разделе Настройка профилей MFA (мультифакторной аутентификации).

idle-time

Время бездействия до отключения; указывается в секундах. Через указанный промежуток времени при отсутствии активности пользователь перейдёт в статус Unknown user.

expiration-time

Время жизни авторизованного пользователя; указывается в секундах. Через указанный промежуток времени пользователь перейдёт в статус Unknown user; необходима повторная авторизация пользователя на Captive-портале.

max-attempts

Число неудачных попыток авторизации через Captive-портал до блокировки учётной записи пользователя.

lockout-time

Время, на которое блокируется учетная запись пользователя при достижении указанного числа неудачных попыток авторизации; указывается в секундах.

auth-method

Метод аутентификации:

  • local-user-auth: аутентификация по базе данных локально заведенных пользователей.

  • policy-accept: не требуется аутентификация, но, прежде чем получить доступ в интернет, пользователь должен согласиться с политикой использования сети; применяется совместно с профилем Captive-портала, в котором используется страница авторизации Captive portal policy.

  • http-basic: аутентификация с помощью метода HTTP Basic.

  • ldap: аутентификация с использованием LDAP-коннектора.

  • radius: аутентификация с использованием RADIUS-сервера.

  • tacacs: аутентификация с использованием сервера TACACS+.

  • ntlm: аутентификация с использованием NTLM-сервера.

  • saml-idpаутентификация с использованием сервера SAML IDP.

Следующая команда предназначена для обновления настроек профилей аутентификации:

Admin@UGOS# set users auth-profile <auth-profile-name>

Для обновления доступен список параметров, аналогичный списку параметров команды create.

Через интерфейс командной строки возможно удаления всего профиля или отдельных способов аутентификации, заданных в профиле. Для этого используются следующие команды.

Для удаления профиля аутентификации:

Admin@UGOS# delete users auth-profile <auth-profile-name>

Для удаления методов аутентификации, заданных в профиле, необходимо указать метод аутентификации (доступные методы авторизации перечислены в таблице выше):

Admin@UGOS# delete users auth-profile <auth-profile-name> auth-method

Captive-портал

В данном разделе описана настройка правил Captive-портала; настройка производится на уровне users captive-portal. Подробнее о структуре команд читайте в разделе Настройка правил с использованием UPL.

Параметры правил captive-портала:

Параметр

Описание

OK

PASS

Действия правила Captive-портала:

  • OK — использовать аутентификацию.

  • PASS — не использовать аутентификацию.

enabled

Включение/отключение правила:

  • enabled(yes) или enabled(true).

  • enabled(no) или enabled(false).

name

Название правила captive-портала.

Например: name("Captive rule example").

desc

Описание правила captive-портала.

Чтобы задать описание правила: desc("Captive portal rule example set via CLI").

profile

Captive-профиль указывается при использовании аутентификации на captive-портале. Например, profile("Example Captive profile").

Подробнее о создании и настройке captive-профилей читайте в разделе Настройка Captive-профилей.

rule_log

Включение/отключение записи срабатывания в журнал правил:

  • rule_log(yes) или rule_log(true).

  • rule_log(no) или rule_log(false).

Если параметр не указан, то функция журналирования отключена.

src.zone

Зона источника.

Для указания зоны источника, например, Trusted: src.zone = Trusted.

Подробнее о настройке зон с использованием интерфейса командной строки читайте в разделе Зоны.

src.ip

Добавление списков IP-адресов или доменов источника.

Для указания списка IP-адресов: src.ip = lib.network(); в скобках необходимо указать название списка. Подробнее о создании и настройке списков IP-адресов с использованием CLI читайте в разделе Настройка IP-адресов.

Для указания списка доменов источника: src.ip = lib.url(); в скобках необходимо указать название URL, в который были добавлены необходимые домены. Подробнее о создании и настройке списков URL с использованием интерфейса командной строки читайте в разделе Настройка списков URL.

src.geoip

Указание GeoIP источника; необходимо указать код страны (например, src.geoip = RU).

Коды названий стран доступны по ссылке ISO 3166-1.

Важно! Существует ограничение на количество GeoIP, которое может быть указано: не более 15.

dst.zone

Зона назначения трафика.

Для указания зоны назначения, например, Untrusted: dst.zone = Untrusted.

Подробнее о настройке зон с использованием интерфейса командной строки читайте в разделе Зоны.

dst.ip

Добавление списков IP-адресов или доменов назначения.

Для указания списка IP-адресов: dst.ip = lib.network(); в скобках необходимо указать название списка. Подробнее о создании и настройке списков IP-адресов с использованием CLI читайте в разделе Настройка IP-адресов.

Для указания списка доменов назначения: dst.ip = lib.url(); в скобках необходимо указать название URL-списка, в который были добавлены необходимые домены. Подробнее о создании и настройке списков URL с использованием интерфейса командной строки читайте в разделе Настройка списков URL.

dst.geoip

Указание GeoIP назначения; необходимо указать код страны (например, dst.geoip = RU).

Коды названий стран доступны по ссылке ISO 3166-1.

Важно! Существует ограничение на количество GeoIP, которое может быть указано: не более 15.

category

Списки категорий и категории URL-фильтрации, для которых будет применяться правило. Для URL-фильтрации необходимо иметь соответствующую лицензию.

Для указания списка категорий URL: category = lib.category(); в скобках необходимо указать название списка категорий URL.

Подробнее о создании и настройке категорий URL с использованием интерфейса командной строки читайте в разделе Настройка категорий URL.

Для указания категории URL: category = "URL category name".

url

Списки URL, для которых будет применяться правило.

Для указания списка URL: url = lib.url(); в скобках необходимо указать название списка URL.

time

Настройка расписания работы правила.

Для установки расписания: time = lib.time(); в скобках необходимо указать название группы календарей. Подробнее о настройке календарей читайте в разделе Настройка календарей.

Настройка Captive-профилей

Настройка Captive-профилей производится на уровне users captive-profiles.

Для создания Captive-профиля необходимо использовать следующую команду:

Admin@UGOS# create users captive-profiles

Далее необходимо указать следующие параметры:

Параметр

Описание

name

Название captive-профиля.

description

Описание captive-профиля.

auth-template

Шаблон страницы авторизации.

auth-mode

Метод идентификации, с помощью которого UserGate запомнит пользователя:

  • ip — Запоминать IP-адрес. После успешной авторизации пользователя через Captive-портал UserGate запоминает IP-адрес пользователя, и все последующие соединения с этого IP-адреса будут относятся к данному пользователю; устанавливается по умолчанию.

  • cookie — Запоминать cookie. После успешной авторизации пользователя через Captive-портал UserGate добавляет в браузер пользователя cookie, с помощью которого идентифицирует последующие соединения данного пользователя.

auth-profile

Профиль аутентификации, определяющий методы аутентификации. Подробнее о настройке профилей авторизации с использованием CLI смотрите в разделе Настройка профилей аутентификации.

custom-redirect

URL, куда будет перенаправлен пользователь после успешной авторизации с помощью Captive-портала. Если не заполнено, то пользователь переходит на запрошенный им URL.

use-cookie

Возможность сохранения авторизации в браузере на указанное время. Для сохранения информации используются cookie.

  • on.

  • off.

cookie-exptime

Время, на которое будет сохранена авторизация; задаётся в часах.

enable-ldap

Возможность выбора домена AD/LDAP на странице авторизации:

  • on.

  • off.

use-captcha

Использование CAPTCHA: пользователю будет предложено ввести код, который ему будет показан на странице авторизации Captive-портала:

  • on.

  • off.

use-https

Использование HTTPS при отображении страницы авторизации Captive-портала. Необходимо иметь корректно настроенный сертификат для SSL Captive-портала.

  • on.

  • off.

notification-profile

Профиль оповещения, который будет использоваться для отсылки гостевым пользователям информации о созданном пользователе и его пароле. Подробнее о настройке профилей оповещений с использованием CLI смотрите в разделе Настройка профилей оповещений.

notification-sender

Отправитель сообщения. Указать имя (в случае использования SMPP-профиля) или email (в случае использования SMTP-профиля).

notification-subject

Тема оповещения при использовании оповещений по email.

notification-body

Тело письма. В письме можно использовать специальные переменные {login} и {password}, которые будут заменены на имя пользователя и его пароль. Текст оповещения обособляется кавычками ("").

exp-time

Дата и время, когда учетная запись временного пользователя будет отключена. Указывается в формате: yyyy-mm-ddThh:mm:ssZ.

session-ttl

Продолжительность времени с момента первой авторизации временного пользователя, по истечении которого его учетная запись будет отключена; задаётся в часах.

password-len

Длина пароля 1 — 15 символов.

password-complexity

Сложность пароля:

  • num: использование только цифр.

  • alpha_num: использование букв и цифр.

  • alpha_num_special: использование букв, цифр и специальных символов.

ta-groups

Группа для временных пользователей, в которую будут помещены создаваемые пользователи.

Для обновления профиля необходимо использовать следующую команду:

Admin@UGOS# set users captive-profiles <captive-profile-name>

При обновлении настроек captive-профиля доступны параметры, аналогичные параметрам, доступным при создании профиля.

Для удаления профиля используется команда:

Admin@UGOS# delete users captive-profiles <captive-profile-name>

Также, с использованием следующей команды, доступно удаление групп для временных пользователей (всегда должна быть указана хотя бы одна группа для временных пользователей):

Admin@UGOS# delete users captive-profiles <captive-profile-name> ta-groups

Команда для отображения настроек captive-профиля:

Admin@UGOS# show users captive-profiles <captive-profile-name>

Настройка терминальных серверов

В данном разделе описана настройка терминальных серверов с использованием интерфейса командной строки. Настройка производится на уровне users terminal-servers.

Для создания терминального сервера необходимо ввести следующую команду:

Admin@UGOS# create users terminal-servers

Далее необходимо указать следующие параметры:

Параметр

Описание

enabled

Включение/отключение терминального сервера:

  • on.

  • off.

name

Название терминального сервера.

description

Описание терминального сервера.

host

IP-адрес хоста. Для добавления нескольких адресов укажите их через пробел.

Следующая команда предназначена для обновления параметров (параметры приведены выше в таблице) терминального сервера:

Admin@UGOS# set users terminal-servers <terminal-server-name>

Команда удаления терминального сервера:

Admin@UGOS# delete users terminal-servers <terminal-server-name>

Также возможно удаление отдельных хостов. Для удаления необходимо уточнить их адреса:

Admin@UGOS# delete users terminal-servers <terminal-server-name> host

Для отображения информации о терминальном сервере необходимо использовать команду:

Admin@UGOS# show users terminal-servers <terminal-server-name>
Настройка профилей MFA (мультифакторной аутентификации)

Данный раздел описывает настройку профилей мультифакторной аутентификации с использованием CLI. Настройка профилей MFA производится на уровне users mfa-profiles. Можно создать несколько типов профилей:

  • MFA через TOTP: использование токена TOTP (Time-based One Time Password) в качестве второго фактора аутентификации.

  • MFA через email: использование одноразового пароля, полученного по email, в качестве второго фактора аутентификации.

  • MFA через SMS: использование одноразового пароля, полученного по SMS, в качестве второго фактора аутентификации.

Команда для удаления профиля мультифакторной аутентификации:

Admin@UGOS# delete users mfa-profiles <mfa-name>

Для отображения информации о всех профилях или об определённом профиле MFA используются следующие команды:

Admin@UGOS# show users mfa-profiles
Admin@UGOS# set users mfa-profilesz <mfa-name>

Настройка MFA через TOTP

В зависимости от выбранного способа получения первоначального кода для инициализации TOTP (на странице Captive-портала, по email, по SMS) будет доступен разный список параметров, которые необходимо указать. Получение возможно:

  • по email:

    Admin@UGOS# create users mfa-profiles mfa-totp smtp
  • по SMS:

    Admin@UGOS# create users mfa-profiles mfa-totp smpp
  • отображение на странице Captive-портала после первой успешной авторизации:

    Admin@UGOS# create users mfa-profiles mfa-totp key-on-captiveportal

Далее необходимо указать следующие параметры:

Параметр

Описание

name

Название профиля MFA.

description

Описание профиля MFA.

totp-qr-code

QR-код на странице Captive-портала или в электронном письме для облегчения настройки устройства или ПО TOTP клиента.

notification-sender

Отправитель сообщения. Указать имя (в случае использования SMPP-профиля) или email (в случае использования SMTP-профиля).

notification-subject

Тема оповещения при использовании оповещений по email.

notification-body

Тело письма. В письме можно использовать специальную переменную {2fa_auth_code}, которая будут заменена на одноразовый пароль. Текст оповещения обособляется кавычками ("").

Для обновления параметров используется следующая команда:

Admin@UGOS# set users mfa-profiles mfa-totp <mfa-totp-name>

Параметры, доступные для обновления, совпадают с параметрами, доступными при создании профиля.

Настройка MFA через email

Команда для добавления нового профиля мультифакторной аутентификации через email:

Admin@UGOS# create users mfa-profiles mfa-email smtp <smtp-profile>

Далее необходимо указать следующие параметры:

Параметр

Описание

name

Название профиля MFA.

description

Описание профиля MFA.

notification-sender

Email отправителя сообщения.

notification-subject

Тема оповещения.

notification-body

Тело письма. В письме можно использовать специальную переменную {2fa_auth_code}, которая будут заменена на одноразовый пароль. Текст оповещения обособляется кавычками ("").

code-lifetime

Срок действия одноразового пароля; указывается в секундах.

Для обновления параметров используется следующая команда:

Admin@UGOS# set users mfa-profiles mfa-email <mfa-email-profile>

Параметры, доступные для обновления, совпадают с параметрами, доступными при создании профиля.

Настройка MFA через SMS

Команда для добавления нового профиля мультифакторной аутентификации через SMS:

Admin@UGOS# create users mfa-profiles mfa-sms smpp <smpp-profile>

Далее необходимо указать следующие параметры:

Параметр

Описание

name

Название профиля MFA.

description

Описание профиля MFA.

notification-sender

Имя отправителя сообщения.

notification-body

Тело письма. В письме можно использовать специальную переменную {2fa_auth_code}, которая будут заменена на одноразовый пароль. Текст оповещения обособляется кавычками ("").

code-lifetime

Срок действия одноразового пароля; указывается в секундах.

Для обновления параметров используется следующая команда:

Admin@UGOS# set users mfa-profiles mfa-sms <mfa-sms-profile>

Параметры, доступные для обновления, совпадают с параметрами, доступными при создании профиля.

Настройка применения политик к пользователям

Для локальных пользователей UserGate политики применяются автоматически.

Если пользователи проходят аутентификацию через LDAP-коннектор, NTLM или Kerberos, то для применения политик к пользователям (в случаях добавления новой LDAP-группы или пользователя в группу, создания правила и применения его к группе LDAP) необходимо сбросить сессии всех пользователей и произвести очистку кэша LDAP-записей на UserGate.

С помощью интерфейса командной строки CLI можно сбросить сессии отдельных пользователей. Команда выполняется в режиме конфигурации (configure), для выполнения команды необходимо знать IP-адрес пользователя:

Admin@UGOS# execute terminate usersession <IP-address>

Для очистки кэша используется команда:

Admin@UGOS# execute cache ldap-clear