Пользователи терминальных серверов

Терминальный сервер служит для удаленного обслуживания пользователей с предоставлением рабочего стола или консоли. Как правило, один терминальный сервер предоставляет свой сервис нескольким пользователям, а в некоторых случаях десяткам или даже сотням пользователей. Проблема аутентификации пользователей терминального сервера состоит в том, что у всех пользователей сервера будет определен один и тот же IP-адрес, и UserGate SWG не может корректно идентифицировать сетевые подключения пользователей. Для решения этой проблемы предлагается использование специального агента терминального сервиса. Каждому пользователю выделяется диапазон портов, с использованием которых происходит соединение пользователя, т. е. исходные порты подменяются на порты из выделенного для пользователя диапазона.

Агент терминального сервиса должен быть установлен на все терминальные серверы, пользователей которых необходимо идентифицировать. Агент представляет собой сервис, который передает на UserGate SWG информацию о пользователях терминального сервера и об их сетевых соединениях. В силу специфики работы протокола TCP/IP, агент терминального сервиса может идентифицировать трафик пользователей, передаваемый только с помощью протоколов TCP и UDP. Протоколы, отличные от TCP и UDP, например ICMP, не могут быть идентифицированы.

Для корректной идентификации пользователей, в случае использования на терминальных серверах аутентификации Active Directory, требуется настроенный сервер аутентификации LDAP-коннектор.

Чтобы начать работу с аутентификацией пользователей на терминальных серверах, необходимо выполнить следующие шаги:

1. Разрешите сервис Агент аутентификации в свойствах контроля доступа зоны, со стороны которой расположены серверы терминального доступа.

2. Установите пароль агентов терминального сервера. В веб-консоли UserGate SWG в разделе Настройки ➜  UserGate ➜ Настройки ➜ Модули нажмите Настроить напротив строки Пароль агентов терминального сервиса и установите пароль агентов терминального сервера.

3. Установите агент терминального сервера на все серверы, для которых необходимо идентифицировать пользователей. При установке укажите адрес UserGate SWG и установленный на предыдущем шаге пароль.

4. В веб-консоли UserGate SWG. в разделе Настройки ➜ Пользователи и устройства ➜ Терминальные серверы добавьтеь агентов терминального сервера, указав имя и адрес узла. После получения данных с указанного в настройках узла и совпадении пароля, указанного на шаге 2, аутентификация пользователей будет включена автоматически. При обновлении версии ПО UserGate SWG агенты терминальных серверов, которые ранее отображались в веб-консоли, будут продолжать работать.

UserGate теперь будет получать информацию о пользователях.

Агент терминального сервера позволяет аутентифицировать не только доменных, но и локальных пользователей терминального сервера. Для этого необходимо добавить в файл конфигурации (%ALLUSERSPROFILE%\Entensys\Terminal Server Agent\tsagent.cfg) следующий параметр:

LocalDomain = 1

При включении этого параметра информация о пользователях будет передаваться на UserGate SWG в формате  «имя сервера_имя пользователя» для локальных пользователей или «имя домена_имя пользователя» для доменных.

Таких пользователей также необходимо добавить в UserGate SWG как локальных. О добавлении пользователей — в разделе «Пользователи». При добавлении необходимо указать логин в приведенном выше формате; пароль указывать не нужно.

Эта опция предназначена, в основном, для терминальных серверов, не включенных в домен, вход на который осуществляется с локальными учетными данными.

После изменения файла конфигурации сервис терминального агента нужно перезапустить.

Параметры терминального сервера могут быть изменены путем внесения изменений в файл конфигурации агента аутентификации для терминальных серверов. После внесения изменений агент аутентификации необходимо перезапустить.

Список параметров файла tsagent.cfg:

• TimerUpdate: периодичность отправки данных (указывается в секундах).

• MaxLogSize: максимальный размер журнала работы сервиса (указывается в Мбайт).

• SharedKey: пароль для подключения агента.

• SystemAccounts: может принимать значения 0 или 1. При значении параметра SystemAccounts=1 включает передачу информации о соединениях системных учетных записей (system, local service, network service) и портах, используемых для соединения, на UserGate SWG.

• FQDN: может принимать значения 0 или 1. Значение параметра FQDN=1 соответствует использованию FQDN (Fully Qualified Domain Name), например «example.com» вместо «example».

• ServerPort: номер порта UserGate SWG, принимающего соединение от агента авторизации. По умолчанию используется порт UDP:1813.

• ServerAddress: адрес устройства UserGate, принимающего соединение от агента аутентификации. Начиная с версии агента 6.2.0.49 поддерживается возможность работы с несколькими UserGate SWG одновременно. Строка ServerAddress может содержать несколько элементов, разделенных символом ";". Это могут быть как IP-адреса, так и FQDN (например, ServerAddress=testtermserver.net;15.0.0.203).Все адреса определяются в момент старта и в момент изменений в настройках сетевых адаптеров. Рассылки о пользователях дублируются на все адреса.

• UserCount: максимальное количество пользователей.

• BlockDNS: может принимать значения 0 или 1. При BlockDNS=1 происходит замена порта источника на свободный порт из выделенного для пользователя диапазона при DNS запросе (UDP:53); при BlockDNS=0 — отправка трафика происходит без замены порта.

• BlockUDP: может принимать значения 0 или 1. Значение параметра BlockUDP=1 соответствует замене порта источника на свободный порт из выделенного для пользователя диапазона при отправке трафика UDP; при BlockUDP=0 — отправка трафика происходит без замены порта.

• ExcludeIP: в случае, если на терминальном сервере настроены несколько IP-адресов, то все они будут использованы для аутентификации пользователей. Параметр ExcludeIP позволяет ограничить аутентификацию пользователей с определенных IP-адресов терминального сервера:

  • IP-адреса в формате x.x.x.x и/или адреса подсетей в формате x.x.x.x/n указываются через точку с запятой (например, ExcludeIP=x.x.x.x/n; x.x.x.x ).

  • Допускается использование пробелов между адресами в списке, они игнорируются (например, ExcludeIP=x.x.x.x/n; x.x.x.x;y.y.y.y ).

  • Если в строке есть ошибки в написании адресов, они будут отражены в логах при старте агента. Будут использованы только правильно указанные адреса. Количество используемых адресов из списка записывается в лог при старте агента.

  • Если в результате фильтрации будут исключены все адреса из рассылки, то делается запись в лог (один раз) в виде: GetIPAddressList: IP list is blocked by ExceptIP. Если позже будет сформирована непустая рассылка, то делается запись в лог в виде GetIPAddressList: IP list is not blocked by ExceptIP anymore.

• ExcludePorts: диапазон, порты из которого не будут подменяться на порты из выделенного для пользователя диапазона портов (диапазон портов указывается следующим образом: ExcludePorts=port1-port2).

• NAT_IP: необходим при наличии NAT между терминальным сервером и UserGate: замена IP-адреса терминального сервера на один из адресов указанного диапазона. Адреса указываются в следующем виде: NAT_IP="12.3.4-1.1.1.1;2.2.2.2-5.5.5.5".

Для исключения из рассылки определенных адресов и/или подсетей терминальным агентом помимо добавления параметра ExcludeIP в файл конфигурации tsagent.cfg он может быть активирован и в реестре сервера следующим образом:

• Добавлен в качестве строкового параметра в ветку реестра Windows [HKEY_CURRENT_USER\Software\Policies\Entensys\Auth Client]. В этом случае настройки параметра будут действовать только для данного пользователя.  

• Добавлен в качестве строкового параметра в ветку реестра  Windows [HKEY_LOCAL_MACHINE\Software\Policies\Entensys\Auth Client]. В этом случае настройки параметра будут действовать для всех пользователей данной системы.  

Порядок поиска настроек параметра ExcludeIP в системе следующий: сначала параметр ищется в ветке реестра [HKEY_LOCAL_MACHINE\Software\Policies\Entensys\Auth Client], затем в ветке реестра [HKEY_CURRENT_USER\Software\Policies\Entensys\Auth Client], затем в файле tsagent.cfg.