ID статьи: 99
Последнее обновление: 23 апр, 2024
Documentation: Product: NGFW Version: 5.x, 6.1.9, 7.0.1
Терминальный сервер служит для удаленного обслуживания пользователя с предоставлением рабочего стола или консоли. Как правило, один терминальный сервер предоставляет свой сервис нескольким пользователям, а в некоторых случаях десяткам или даже сотням пользователей. Проблема идентификации пользователей терминального сервера состоит в том, что у всех пользователей сервера будет определен один и тот же IP-адрес, и NGFW не может корректно идентифицировать сетевые подключения пользователей. Для решения данной проблемы предлагается использование специального агента терминального сервиса. Каждому пользователю выделяется диапазон портов, с использованием которых происходит соединение пользователя, т.е. исходные порты подменяются на порты из выделенного для пользователя диапазона. Агент терминального сервиса должен быть установлен на все терминальные серверы, пользователей которых необходимо идентифицировать. Агент представляет собой сервис, который передает на NGFW информацию о пользователях терминального сервера и об их сетевых соединениях. В силу специфики работы протокола TCP/IP, агент терминального сервиса может идентифицировать трафик пользователей, передаваемый только с помощью TCP и UDP протоколов. Протоколы, отличные от TCP/UDP, например, ICMP, не могут быть идентифицированы. Для корректной идентификации пользователей, в случае использования на терминальных серверах авторизации Active Directory, требуется настроенный сервер Active Directory коннектор. Чтобы начать работу с аутентификацией пользователей на терминальных серверах, необходимо выполнить следующие шаги:
UserGate теперь будет получать информацию о пользователях. Агент терминального сервера позволяет авторизовывать не только доменных, но и локальных пользователей терминального сервера. Для этого необходимо добавить в файл конфигурации (%ALLUSERSPROFILE%\Entensys\Terminal Server Agent\tsagent.cfg) следующий параметр: LocalDomain = 1 После изменения файла конфигурации сервис терминального агента нужно перезапустить. Таких пользователей также необходимо добавить в NGFW как локальных. О добавлении пользователей читайте в разделе Пользователи. При добавлении необходимо указать Логин в формате: «имя компьютера_имя пользователя»; пароль указывать не нужно. ПримечаниеИмя компьютера должно состоять из букв, цифр и знака подчёркивания; использование тире не допускается.
Параметры терминального сервера могут быть изменены путём внесения изменений в файл конфигурации агента авторизации для терминальных серверов. После внесения изменений агент авторизации необходимо перезапустить. Ниже представлен список параметров файла tsagent.cfg:
Для исключения из рассылки определенных адресов и/или подсетей терминальным агентом помимо добавления параметра ExcludeIP в файл конфигурации tsagent.cfg он может быть активирован и в реестре сервера следующим образом:
Порядок поиска настроек параметра ExcludeIP в системе следующий: сначала параметр ищется в ветке реестра [HKEY_LOCAL_MACHINE\Software\Policies\Entensys\Auth Client], затем в ветке реестра [HKEY_CURRENT_USER\Software\Policies\Entensys\Auth Client], затем в файле tsagent.cfg.
Эта статья была:
Полезна |
Не полезна
Сообщить об ошибке
ID статьи: 99
Последнее обновление: 23 апр, 2024
Ревизия: 8
Просмотры: 7356
Комментарии: 0
Теги
Также опубликовано в
|