ID статьи: 571
Последнее обновление: 08 апр, 2024
KnowledgeBase: Product: UserGate NGFW Version: 6.x, 7.x Technology: Identification and Authentication
В данном разделе в общем будут рассмотрены алгоритмы аутентификации пользователей на UserGate и условия применения политик. Аутентификация локальных пользователейЕсли на UserGate настроена аутентификация локальных пользователей, то возможны следующие случаи: 1. Аутентификация по явно указанному IP-адресу. IP-адрес указывается во вкладке Статические IP/MAC/VLAN свойств пользователя в разделе Пользователи и устройства ➜ Пользователи. В этом случае пользователь считается аутентифицированным на UserGate. 2. Аутентификация по логину/паролю. При получении от неизвестного клиента HTTP-запроса UserGate перенаправляет его на страницу аутентификации captive-портала. Политики применятся к локальным пользователям автоматически. Аутентификация на серверах RADIUS, TACACS+При получении от неизвестного клиента HTTP-запроса UserGate перенаправляет его на страницу аутентификации captive-портала. Пользователь вводит логин/пароль, а UserGate отправляет данные на сервер (RADIUS или TACACS+) для проверки их корректности. Аутентификация через LDAP-коннектор1. LDAP-коннектор с загруженным keytab. При получении от неизвестного клиента HTTP-запроса UserGate перенаправляет его на страницу аутентификации captive-портала. Пользователь вводит логин/пароль, UserGate получает Kerberos-тикет для данного пользователя и расшифровывает его с помощью загруженного keytab-файла. 2. LDAP-коннектор без загруженного keytab. При получении от неизвестного клиента HTTP-запроса UserGate перенаправляет его на страницу аутентификации captive-портала. Пользователь вводит логин/пароль, UserGate посылает LDAP-запрос на сервер аутентификации для проверки корректности введённых логина и пароля. ПримечаниеПользователи должны состоять в группе Domain Users (идентификатор группы: 513).
Аутентификация KerberosПри получении от неизвестного клиента HTTP-запроса UserGate отправляет клиенту сообщение HTTP 401 или HTTP 407 с требованием аутентификации. При явно указанном прокси, получая от клиента HTTP-запрос, UserGate отвечает сообщением HTTP 407 (Proxy Authentication Required). При прозрачном проксировании UserGate перехватывает HTTP-запрос от клиента и отправляет сообщение HTTP 302, указывая в Location auth домен captive-портала. При получении от клиента GET на auth домен captive-портала UserGate отвечает сообщением HTTP 401 (Unauthorized). Получив ответ от UserGate, пользователь обращается в центр распределения ключей своей сети (KDC) с целью получения для своих учётных данных Kerberos-тикета. Затем полученный Kerberos-тикет пользователь отправляет на сервер UserGate, который расшифровывает его с помощью загруженного keytab. UserGate записывает в базу данных имя и IP-адрес пользователя и просматривает группы LDAP, указанные в тикете. Если указанные группы LDAP используются в политиках UserGate, то UserGate добавит эти группы к информации о пользователе, если нет, то информация об этих группах не будет записана в базу данных. Аутентификация NTLMПри получении от неизвестного клиента HTTP-запроса UserGate отправляет клиенту сообщение HTTP 401 или HTTP 407 с требованием аутентификации. При явно указанном прокси, получая от клиента HTTP-запрос, UserGate отвечает сообщением HTTP 407 (Proxy Authentication Required). При прозрачном проксировании UserGate перехватывает HTTP-запрос от клиента и отправляет сообщение HTTP 302, указывая в Location auth домен captive-портала. При получении от клиента GET на auth домен captive-портала UserGate отвечает сообщением HTTP 401 (Unauthorized). Получив ответ от UserGate, пользователь отправляет данные для аутентификации на сервер UserGate. UserGate пересылает их на контроллер домена. В случае корректности логина/пароля считаем пользователя аутентифицированным. Применение политик к пользователям, проходящим аутентификацию через LDAP-коннектор и по NTLMДля применения политик (в случаях добавления новой LDAP-группы или пользователя в группу, создания правила и применения его к группе LDAP) к пользователям, аутентифицирующимся через LDAP-коннектор или NTLM, необходимо: 1. Выполнить logout на UserGate. Для выполнения logout пользователю необходимо перейти на страницу Logout captive-портала и нажать Выйти/Logout. Сбросить аутентификацию всех пользователей можно в разделе Пользователи и устройства ➜ Серверы аутентификации (кнопка Сбросить аутентификацию всех пользователей) веб-интерфейса UserGate. Также можно сбросить сессии отдельных пользователей с помощью интерфейса командной строки (CLI); для выполнения команды необходимо знать IP-адрес пользователя (<IP-address>):
2. Очистить кэш LDAP-записей на UserGate. Очистка доступна через интерфейс командной строки (CLI), используйте команду:
3. Пройти аутентификацию на UserGate. Применение политик к пользователям, проходящим аутентификацию по KerberosДля применения политик (в случаях добавления новой LDAP-группы или пользователя в группу, создания правила и применения его к группе LDAP) к пользователям, аутентифицирующимся по Kerberos, необходимо: 1. Выполнить logout на UserGate. Для выполнения logout пользователю необходимо перейти на страницу Logout captive-портала и нажать Выйти/Logout. Сбросить аутентификацию всех пользователей можно в разделе Пользователи и устройства ➜ Серверы аутентификации (кнопка Сбросить аутентификацию всех пользователей) веб-интерфейса UserGate. Также можно сбросить сессии отдельных пользователей с помощью интерфейса командной строки (CLI); для выполнения команды необходимо знать IP-адрес пользователя (<IP-address>):
2. Получить новый Kerberos-тикет с обновлённым списком LDAP-групп. Для обновления тикета необходимо, например, повторно аутентифицироваться на клиентском компьютере. 3. Очистить кэш LDAP-записей на UserGate. Очистка доступна через интерфейс командной строки (CLI), используйте команду:
4. Пройти аутентификацию на UserGate.
Эта статья была:
Полезна |
Не полезна
Сообщить об ошибке
ID статьи: 571
Последнее обновление: 08 апр, 2024
Ревизия: 8
Просмотры: 6989
Комментарии: 0
Теги
|