Раздел Серверы аутентификации позволяет произвести настройку LDAP-коннектора, серверов RADIUS, TACACS+, NTLM, SAML IDP. Настройка серверов аутентификации производится на уровне users auth-servers и будет рассмотрена далее в соответствующих разделах.
Для сброса авторизации пользователя по IP-адресу используется команда:
Admin@UGOS# set settings usersession terminate <ip>
Настройка LDAP-коннектора производится на уровне users auth-servers ldap.
Для создания LDAP-коннектора используется команда:
Admin@UGOS# create users auth-servers ldap
Далее необходимо указать следующие параметры:
|
Параметр |
Описание |
|---|---|
|
name |
Имя LDAP-коннектора. |
|
enabled |
Включение/отключение сервера аутентификации. |
|
description |
Описание LDAP-коннектора. |
|
ssl |
Определяет:
|
|
address |
IP-адрес контроллера или название домена LDAP. |
|
bind-dn |
Имя пользователя, которое будет использоваться для подключения к серверу; указывается в формате DOMAIN\username или username@domain. Пользователь должен быть заведён в домене. |
|
password |
Пароль пользователя для подключения к домену. |
|
domains |
Список доменов, которые обслуживаются указанным контроллером домена. |
|
search-roots |
Список путей в сервере LDAP, начиная с которых система будет осуществлять поиск пользователей и групп. Необходимо указывать полное имя, например, ou=Office,dc=example,dc=com. Если пути поиска не указаны, то поиск производится по всему каталогу, начиная от корня. |
Команда для обновления информации о существующем LDAP-коннекторе имеет следующую структуру:
Admin@UGOS# set users auth-servers ldap <ldap-server-name>
Параметры, доступные для обновления, аналогичны параметрам создания LDAP-коннектора.
Для удаления LDAP-коннектора используется команда:
Admin@UGOS# delete users auth-servers ldap <ldap-server-name>
Также возможно удаления отдельных параметров LDAP-коннектора. Для удаления доступны следующие параметры:
domains.
search-roots.
Структура команды для отображения информации о LDAP-коннекторе:
Admin@UGOS# show users auth-servers ldap <ldap-server-name>Настройка RADIUS-сервера производится на уровне users auth-servers radius.
Для создания сервера аутентификации RADIUS используется команда со следующей структурой:
Admin@UGOS# create users auth-servers radius
Далее необходимо указать следующие параметры:
|
Параметр |
Описание |
|---|---|
|
name |
Имя RADIUS-сервера. |
|
enabled |
Включение/отключение сервера аутентификации. |
|
description |
Описание сервера аутентификации. |
|
secret |
Общий ключ, используемый протоколом RADIUS для аутентификации. |
|
addresses |
IP-адрес и UDP-порт, на котором сервер RADIUS слушает запросы (по умолчанию порт 1812); указывается в формате <ip:port>. |
Следующая команда используется для обновления информации о сервере RADIUS:
Admin@UGOS# set users auth-servers radius <radius-server-name>
Параметры, которые могут быть обновлены, соответствуют параметрам, указание которых возможно при создании сервера аутентификации.
Для удаления сервера:
Admin@UGOS# delete users auth-servers radius <radius-server-name>
Также возможно удаления отдельных параметров RADIUS-сервера. Для удаления доступны следующие параметры:
addresses.
Структура команды для отображения информации о RADIUS-сервере:
Admin@UGOS# show users auth-servers radius <radius-server-name>Настройка сервера TACACS+ производится на уровне users auth-servers tacacs.
Для создания сервера аутентификаци TACACS+ используется команда со следующей структурой:
Admin@UGOS# create users auth-servers tacacs
Далее необходимо указать следующие параметры:
|
Параметр |
Описание |
|---|---|
|
name |
Имя сервера TACACS+. |
|
enabled |
Включение/отключение сервера. |
|
description |
Описание сервера аутентификации. |
|
secret |
Общий ключ, используемый протоколом TACACS+ для аутентификации. |
|
address |
IP-адрес сервера TACACS+. |
|
port |
UDP-порт, на котором сервер TACACS+ слушает запросы на аутентификацию. По умолчанию это порт UDP 1812. |
|
single-connection |
Использовать одно TCP-соединение для работы с сервером TACACS+. |
|
timeout |
Время ожидания сервера TACACS+ для получения аутентификации. По умолчанию 4 секунды. |
Следующая команда используется для обновления информации о сервере TACACS+:
Admin@UGOS# set users auth-servers tacacs <tacacs-server-name>
Параметры, которые могут быть обновлены, соответствуют параметрам, указание которых возможно при создании сервера аутентификации.
Для удаления сервера:
Admin@UGOS# delete users auth-servers tacacs <tacacs-server-name>
Структура команды для отображения информации о сервере TACACS+:
Admin@UGOS# show users auth-servers tacacs <tacacs-server-name>Настройка сервера NTLM производится на уровне users auth-servers ntlm.
Для создания сервера аутентифификации NTLM используется команда со следующей структурой:
Admin@UGOS# create users auth-servers ntlm
Далее необходимо указать следующие параметры:
|
Параметр |
Описание |
|---|---|
|
name |
Имя NTLM-сервера. |
|
enabled |
Включение/отключение сервера аутентификации. |
|
description |
Описание сервера аутентификации. |
|
win-domain |
Имя домена Windows. |
Следующая команда используется для обновления информации о NTLM-сервере:
Admin@UGOS# set users auth-servers ntlm <ntlm-server-name>
Параметры, которые могут быть обновлены, аналогичны с параметрами команды создания сервера аутентификации.
Для удаления сервера:
Admin@UGOS# delete users auth-servers ntlm <ntlm-server-name>
Структура команды для отображения информации о сервере NTLM:
Admin@UGOS# show users auth-servers ntlm <ntlm-server-name>Настройка сервера SAML IDP производится на уровне users auth-servers saml-idp.
Для создания сервера аутентификации SAML IDP используется следующая команда:
Admin@UGOS# create users auth-servers saml-idp
Далее необходимо указать следующие параметры:
|
Параметр |
Описание |
|---|---|
|
name |
Название сервера SAML IDP. |
|
enabled |
Включение/отключение сервера аутентификации. |
|
description |
Описание сервера аутентификации. |
|
metadata-url |
URL на сервере SAML IDP, где можно скачать xml-файл с корректной конфигурацией для сервис-провайдера (клиента) SAML. |
|
certificate |
Сертификат, который будет использован в SAML-клиенте. |
|
sso-url |
URL, используемая в сервере SAML IDP в качестве единой точки входа. Смотрите документацию на используемый у вас сервер SAML IDP для более детальной информации. |
|
sso-binding |
Метод, используемый для работы с единой точкой входа SSO. Возможны варианты POST и Redirect. Смотрите документацию на используемый у вас сервер SAML IDP для более детальной информации. |
|
slo-url |
URL, используемый в сервере SAML IDP в качестве единой точки выхода. Смотрите документацию на используемый у вас сервер SAML IDP для более детальной информации. |
|
slo-binding |
Метод, используемый для работы с единой точкой выхода SSO. Возможны варианты POST и Redirect. Смотрите документацию на используемый у вас сервер SAML IDP для более детальной информации. |
Следующая команда используется для обновления информации о сервере SAML IDP:
Admin@UGOS# set users auth-servers saml-idp <saml-idp-server-name>
Параметры, которые могут быть обновлены, аналогичны с параметрами команды создания сервера аутентификации.
Для удаления сервера:
Admin@UGOS# delete users auth-servers saml-idp <saml-idp-server-name>
Структура команды для отображения информации о сервере SAML IDP:
Admin@UGOS# show users auth-servers saml-idp <saml-idp-server-name>Настройка групп пользователей производится на уровне users group.
Для добавления новой группы пользователей используется команда:
Admin@UGOS# create users group
Возможно указать следующие параметры:
|
Параметр |
Описание |
|---|---|
|
name |
Название группы пользователей. |
|
description |
Описание группы пользователей. |
|
transient |
Указать:
|
|
users |
Добавление пользователей в группу. |
|
ldap-users |
Добавление пользователей LDAP. При добавлении пользователей LDAP необходимо указать LDAP-коннектор (ldap-users connector <ldap-server-name> users + [ <domain\user1> domain\user2> ... ]). |
Для обновления информации о группе пользователей необходимо воспользоваться следующей командой (параметры, доступные для обновления, аналогичны с параметрами, доступными при создании группы):
Admin@UGOS# set users group <group-name>
С использованием следующих команд можно удалить группу пользователей или отдельных пользователей группы:
Admin@UGOS# delete users group <group-name>
Для удаления локальных пользователей:
Admin@UGOS# delete users group <group-name> users [ <user1> <user2> ... ]
Для удаления пользователей LDAP:
Admin@UGOS# delete users group <group-name> ldap-users connector <ldap-server-name> users [ <domain\user1> <domain\user2> ... ]
Для отображения настроек группы используется следующая команда:
Admin@UGOS# show users group <group-name>
Настройка пользователей производится на уровне users user.
Команда для добавления пользователей:
Admin@UGOS# create users user
Доступно указание следующих параметров:
|
Параметр |
Описание |
|---|---|
|
enabled |
Включение/отключение пользователя. |
|
name |
Имя пользователя. |
|
login |
Логин пользователя — для идентификации по имени и паролю. В этом случае потребуется настроить Captive-портал, где пользователь сможет ввести данное имя и пароль для авторизации. |
|
password |
Пароль пользователя — для идентификации по имени и паролю. В этом случае потребуется настроить Captive-портал, где пользователь сможет ввести данное имя и пароль для авторизации. |
|
expiration-date |
Срок действия учётной записи пользователя. Указывается в формате YYYY-MM-DD. |
|
groups |
Группы, в которые будет добавлен пользователь. |
|
static-addresses |
Указываются:
|
|
emails |
Почтовые адреса пользователя. |
|
phones |
Номера телефонов пользователя. |
Для обновления параметров учётной записи пользователя:
Admin@UGOS# set users user <user-name>
Список доступных параметров аналогичен списку параметров, доступному при создании учётной записи пользователя.
Для удаления учётной записи пользователя используется следующая команда:
Admin@UGOS# delete users user <user-login>
Также имеется возможность удаления определённой информации из учётной записи. Для удаления доступны (при удалении требуется ввод значения параметра):
groups.
static-addresses.
emails.
phones.
Команда для просмотра учётной записи пользователя:
Admin@UGOS# show users user <user-name>
Настройка профилей аутентификации производится на уровне users auth-profile.
Для создания профиля аутентификации используется следующая команда:
Admin@UGOS# create users auth-profile
Далее необходимо указать следующие параметры:
|
Параметр |
Описание |
|---|---|
|
name |
Название профиля MFA. |
|
description |
Описание профиля MFA. |
|
mfa |
Указание профиля мультифакторной аутентификации (если её необходимо использовать). Для указания профиль MFA должен быть создан заранее. Подробнее о создании профилей MFA с использованием интерфейса командной строки читайте в разделе Настройка профилей MFA (мультифакторной аутентификации). |
|
idle-time |
Время бездействия до отключения; указывается в секундах. Через указанный промежуток времени при отсутствии активности пользователь перейдёт в статус Unknown user. |
|
expiration-time |
Время жизни авторизованного пользователя; указывается в секундах. Через указанный промежуток времени пользователь перейдёт в статус Unknown user; необходима повторная авторизация пользователя на Captive-портале. |
|
max-attempts |
Число неудачных попыток авторизации через Captive-портал до блокировки учётной записи пользователя. |
|
lockout-time |
Время, на которое блокируется учетная запись пользователя при достижении указанного числа неудачных попыток авторизации; указывается в секундах. |
|
auth-method |
Метод аутентификации:
|
Следующая команда предназначена для обновления настроек профилей аутентификации:
Admin@UGOS# set users auth-profile <auth-profile-name>
Для обновления доступен список параметров, аналогичный списку параметров команды create.
Через интерфейс командной строки возможно удаления всего профиля или отдельных способов аутентификации, заданных в профиле. Для этого используются следующие команды.
Для удаления профиля аутентификации:
Admin@UGOS# delete users auth-profile <auth-profile-name>
Для удаления методов аутентификации, заданных в профиле, необходимо указать метод аутентификации (доступные методы авторизации перечислены в таблице выше):
Admin@UGOS# delete users auth-profile <auth-profile-name> auth-method
В данном разделе описана настройка правил Captive-портала; настройка производится на уровне users captive-portal. Подробнее о структуре команд читайте в разделе Настройка правил с использованием UPL.
Параметры правил captive-портала:
|
Параметр |
Описание |
|---|---|
|
OK PASS |
Действия правила Captive-портала:
|
|
enabled |
Включение/отключение правила:
|
|
name |
Название правила captive-портала. Например: name("Captive rule example"). |
|
desc |
Описание правила captive-портала. Чтобы задать описание правила: desc("Captive portal rule example set via CLI"). |
|
profile |
Captive-профиль указывается при использовании аутентификации на captive-портале. Например, profile("Example Captive profile"). Подробнее о создании и настройке captive-профилей читайте в разделе Настройка Captive-профилей. |
|
rule_log |
Включение/отключение записи срабатывания в журнал правил:
Если параметр не указан, то функция журналирования отключена. |
|
src.zone |
Зона источника. Для указания зоны источника, например, Trusted: src.zone = Trusted. Подробнее о настройке зон с использованием интерфейса командной строки читайте в разделе Зоны. |
|
src.ip |
Добавление списков IP-адресов или доменов источника. Для указания списка IP-адресов: src.ip = lib.network(); в скобках необходимо указать название списка. Подробнее о создании и настройке списков IP-адресов с использованием CLI читайте в разделе Настройка IP-адресов. Для указания списка доменов источника: src.ip = lib.url(); в скобках необходимо указать название URL, в который были добавлены необходимые домены. Подробнее о создании и настройке списков URL с использованием интерфейса командной строки читайте в разделе Настройка списков URL. |
|
src.geoip |
Указание GeoIP источника; необходимо указать код страны (например, src.geoip = RU). Коды названий стран доступны по ссылке ISO 3166-1. Важно! Существует ограничение на количество GeoIP, которое может быть указано: не более 15. |
|
dst.zone |
Зона назначения трафика. Для указания зоны назначения, например, Untrusted: dst.zone = Untrusted. Подробнее о настройке зон с использованием интерфейса командной строки читайте в разделе Зоны. |
|
dst.ip |
Добавление списков IP-адресов или доменов назначения. Для указания списка IP-адресов: dst.ip = lib.network(); в скобках необходимо указать название списка. Подробнее о создании и настройке списков IP-адресов с использованием CLI читайте в разделе Настройка IP-адресов. Для указания списка доменов назначения: dst.ip = lib.url(); в скобках необходимо указать название URL-списка, в который были добавлены необходимые домены. Подробнее о создании и настройке списков URL с использованием интерфейса командной строки читайте в разделе Настройка списков URL. |
|
dst.geoip |
Указание GeoIP назначения; необходимо указать код страны (например, dst.geoip = RU). Коды названий стран доступны по ссылке ISO 3166-1. Важно! Существует ограничение на количество GeoIP, которое может быть указано: не более 15. |
|
category |
Списки категорий и категории URL-фильтрации, для которых будет применяться правило. Для URL-фильтрации необходимо иметь соответствующую лицензию. Для указания списка категорий URL: category = lib.category(); в скобках необходимо указать название списка категорий URL. Подробнее о создании и настройке категорий URL с использованием интерфейса командной строки читайте в разделе Настройка категорий URL. Для указания категории URL: category = "URL category name". |
|
url |
Списки URL, для которых будет применяться правило. Для указания списка URL: url = lib.url(); в скобках необходимо указать название списка URL. |
|
time |
Настройка расписания работы правила. Для установки расписания: time = lib.time(); в скобках необходимо указать название группы календарей. Подробнее о настройке календарей читайте в разделе Настройка календарей. |
Настройка Captive-профилей производится на уровне users captive-profiles.
Для создания Captive-профиля необходимо использовать следующую команду:
Admin@UGOS# create users captive-profiles
Далее необходимо указать следующие параметры:
|
Параметр |
Описание |
|---|---|
|
name |
Название captive-профиля. |
|
description |
Описание captive-профиля. |
|
auth-template |
Шаблон страницы авторизации. |
|
auth-mode |
Метод идентификации, с помощью которого UserGate запомнит пользователя:
|
|
auth-profile |
Профиль аутентификации, определяющий методы аутентификации. Подробнее о настройке профилей авторизации с использованием CLI смотрите в разделе Настройка профилей аутентификации. |
|
custom-redirect |
URL, куда будет перенаправлен пользователь после успешной авторизации с помощью Captive-портала. Если не заполнено, то пользователь переходит на запрошенный им URL. |
|
use-cookie |
Возможность сохранения авторизации в браузере на указанное время. Для сохранения информации используются cookie.
|
|
cookie-exptime |
Время, на которое будет сохранена авторизация; задаётся в часах. |
|
enable-ldap |
Возможность выбора домена AD/LDAP на странице авторизации:
|
|
use-captcha |
Использование CAPTCHA: пользователю будет предложено ввести код, который ему будет показан на странице авторизации Captive-портала:
|
|
use-https |
Использование HTTPS при отображении страницы авторизации Captive-портала. Необходимо иметь корректно настроенный сертификат для SSL Captive-портала.
|
|
notification-profile |
Профиль оповещения, который будет использоваться для отсылки гостевым пользователям информации о созданном пользователе и его пароле. Подробнее о настройке профилей оповещений с использованием CLI смотрите в разделе Настройка профилей оповещений. |
|
notification-sender |
Отправитель сообщения. Указать имя (в случае использования SMPP-профиля) или email (в случае использования SMTP-профиля). |
|
notification-subject |
Тема оповещения при использовании оповещений по email. |
|
notification-body |
Тело письма. В письме можно использовать специальные переменные {login} и {password}, которые будут заменены на имя пользователя и его пароль. Текст оповещения обособляется кавычками (""). |
|
exp-time |
Дата и время, когда учетная запись временного пользователя будет отключена. Указывается в формате: yyyy-mm-ddThh:mm:ssZ. |
|
session-ttl |
Продолжительность времени с момента первой авторизации временного пользователя, по истечении которого его учетная запись будет отключена; задаётся в часах. |
|
password-len |
Длина пароля 1 — 15 символов. |
|
password-complexity |
Сложность пароля:
|
|
ta-groups |
Группа для временных пользователей, в которую будут помещены создаваемые пользователи. |
Для обновления профиля необходимо использовать следующую команду:
Admin@UGOS# set users captive-profiles <captive-profile-name>
При обновлении настроек captive-профиля доступны параметры, аналогичные параметрам, доступным при создании профиля.
Для удаления профиля используется команда:
Admin@UGOS# delete users captive-profiles <captive-profile-name>
Также, с использованием следующей команды, доступно удаление групп для временных пользователей (всегда должна быть указана хотя бы одна группа для временных пользователей):
Admin@UGOS# delete users captive-profiles <captive-profile-name> ta-groups
Команда для отображения настроек captive-профиля:
Admin@UGOS# show users captive-profiles <captive-profile-name>
В данном разделе описана настройка терминальных серверов с использованием интерфейса командной строки. Настройка производится на уровне users terminal-servers.
Для создания терминального сервера необходимо ввести следующую команду:
Admin@UGOS# create users terminal-servers
Далее необходимо указать следующие параметры:
|
Параметр |
Описание |
|---|---|
|
enabled |
Включение/отключение терминального сервера:
|
|
name |
Название терминального сервера. |
|
description |
Описание терминального сервера. |
|
host |
IP-адрес хоста. Для добавления нескольких адресов укажите их через пробел. |
Следующая команда предназначена для обновления параметров (параметры приведены выше в таблице) терминального сервера:
Admin@UGOS# set users terminal-servers <terminal-server-name>
Команда удаления терминального сервера:
Admin@UGOS# delete users terminal-servers <terminal-server-name>
Также возможно удаление отдельных хостов. Для удаления необходимо уточнить их адреса:
Admin@UGOS# delete users terminal-servers <terminal-server-name> host
Для отображения информации о терминальном сервере необходимо использовать команду:
Admin@UGOS# show users terminal-servers <terminal-server-name>
Данный раздел описывает настройку профилей мультифакторной аутентификации с использованием CLI. Настройка профилей MFA производится на уровне users mfa-profiles. Можно создать несколько типов профилей:
MFA через TOTP: использование токена TOTP (Time-based One Time Password) в качестве второго фактора аутентификации.
MFA через email: использование одноразового пароля, полученного по email, в качестве второго фактора аутентификации.
MFA через SMS: использование одноразового пароля, полученного по SMS, в качестве второго фактора аутентификации.
Команда для удаления профиля мультифакторной аутентификации:
Admin@UGOS# delete users mfa-profiles <mfa-name>
Для отображения информации о всех профилях или об определённом профиле MFA используются следующие команды:
Admin@UGOS# show users mfa-profiles
Admin@UGOS# set users mfa-profilesz <mfa-name>
В зависимости от выбранного способа получения первоначального кода для инициализации TOTP (на странице Captive-портала, по email, по SMS) будет доступен разный список параметров, которые необходимо указать. Получение возможно:
по email:
Admin@UGOS# create users mfa-profiles mfa-totp smtpпо SMS:
Admin@UGOS# create users mfa-profiles mfa-totp smppотображение на странице Captive-портала после первой успешной авторизации:
Admin@UGOS# create users mfa-profiles mfa-totp key-on-captiveportalДалее необходимо указать следующие параметры:
|
Параметр |
Описание |
|---|---|
|
name |
Название профиля MFA. |
|
description |
Описание профиля MFA. |
|
totp-qr-code |
QR-код на странице Captive-портала или в электронном письме для облегчения настройки устройства или ПО TOTP клиента. |
|
notification-sender |
Отправитель сообщения. Указать имя (в случае использования SMPP-профиля) или email (в случае использования SMTP-профиля). |
|
notification-subject |
Тема оповещения при использовании оповещений по email. |
|
notification-body |
Тело письма. В письме можно использовать специальную переменную {2fa_auth_code}, которая будут заменена на одноразовый пароль. Текст оповещения обособляется кавычками (""). |
Для обновления параметров используется следующая команда:
Admin@UGOS# set users mfa-profiles mfa-totp <mfa-totp-name>
Параметры, доступные для обновления, совпадают с параметрами, доступными при создании профиля.
Команда для добавления нового профиля мультифакторной аутентификации через email:
Admin@UGOS# create users mfa-profiles mfa-email smtp <smtp-profile>
Далее необходимо указать следующие параметры:
|
Параметр |
Описание |
|---|---|
|
name |
Название профиля MFA. |
|
description |
Описание профиля MFA. |
|
notification-sender |
Email отправителя сообщения. |
|
notification-subject |
Тема оповещения. |
|
notification-body |
Тело письма. В письме можно использовать специальную переменную {2fa_auth_code}, которая будут заменена на одноразовый пароль. Текст оповещения обособляется кавычками (""). |
|
code-lifetime |
Срок действия одноразового пароля; указывается в секундах. |
Для обновления параметров используется следующая команда:
Admin@UGOS# set users mfa-profiles mfa-email <mfa-email-profile>
Параметры, доступные для обновления, совпадают с параметрами, доступными при создании профиля.
Команда для добавления нового профиля мультифакторной аутентификации через SMS:
Admin@UGOS# create users mfa-profiles mfa-sms smpp <smpp-profile>
Далее необходимо указать следующие параметры:
|
Параметр |
Описание |
|---|---|
|
name |
Название профиля MFA. |
|
description |
Описание профиля MFA. |
|
notification-sender |
Имя отправителя сообщения. |
|
notification-body |
Тело письма. В письме можно использовать специальную переменную {2fa_auth_code}, которая будут заменена на одноразовый пароль. Текст оповещения обособляется кавычками (""). |
|
code-lifetime |
Срок действия одноразового пароля; указывается в секундах. |
Для обновления параметров используется следующая команда:
Admin@UGOS# set users mfa-profiles mfa-sms <mfa-sms-profile>
Параметры, доступные для обновления, совпадают с параметрами, доступными при создании профиля.
Для локальных пользователей UserGate политики применяются автоматически.
Если пользователи проходят аутентификацию через LDAP-коннектор, NTLM или Kerberos, то для применения политик к пользователям (в случаях добавления новой LDAP-группы или пользователя в группу, создания правила и применения его к группе LDAP) необходимо сбросить сессии всех пользователей и произвести очистку кэша LDAP-записей на UserGate.
С помощью интерфейса командной строки CLI можно сбросить сессии отдельных пользователей. Команда выполняется в режиме конфигурации (configure), для выполнения команды необходимо знать IP-адрес пользователя:
Admin@UGOS# execute terminate usersession <IP-address>
Для очистки кэша используется команда:
Admin@UGOS# execute cache ldap-clear