Серверы аутентификации — это внешние источники учетных записей пользователей для авторизации в веб-консоли управляемой области. Работа сервера аутентификации области аналогична работе сервера аутентификации для UGMC — отличается только место их использования.

LDAP-коннектор

LDAP-коннектор позволяет:

Получать информацию о пользователях и группах Active Directory или других LDAP-серверов. Поддерживается работа с LDAP-сервером FreeIPA.
Выполнять авторизацию администраторов области через домены Active Directory и FreeIPA.

Чтобы добавить LDAP-коннектор:

1. В веб-консоли управляемой области в разделе Управление областью ➜ Центр управления ➜ Серверы аутентификации нажмите Добавить и выберите Добавить LDAP-коннектор.

2. В окне Свойства коннектора LDAP укажите название LDAP-коннектора.

3. В поле Доменное имя LDAP или IP-адрес укажите IP-адрес контроллера домена, FQDN контроллера домена или FQDN домена (например, test.local). Если указан FQDN контроллера домена, то UserGate получит адрес контроллера домена с помощью DNS-запроса. Если указан FQDN домена, то при отключении основного контроллера домена, UserGate будет использовать резервный контроллер.

4. В поле Привязать DN (логин) укажите имя пользователя, которое необходимо использовать для подключения к серверу LDAP. Имя необходимо указать в формате <ДОМЕН>\<логин> или <логин>@<домен>. Этот пользователь уже должен быть создан в домене.

5. Укажите пароль пользователя для подключения к домену.

6. Если необходимо, на вкладке Домены LDAP добавьте домены, которые обслуживаются указанным контроллером домена. Например, если используется дерево доменов или лес доменов Active Directory. Здесь же можно указать короткое netbios-имя домена.

7. На вкладке Пути поиска укажите пути, начиная с которых система будет осуществлять поиск пользователей и групп. Необходимо указывать полное имя, например ou=Office,dc=example,dc=com.

8. Если необходимо, на вкладке Настройки установите флажок Использовать для соединений SSL, чтобы использовать SSL-соединение для подключения к LDAP-серверу.

9. Установите флажок Включено, чтобы начать использовать LDAP-коннектор, и сохраните изменения.

После создания сервера необходимо проверить корректность параметров, нажав на кнопку Проверить соединение. Если параметры указаны верно, система сообщит об этом либо укажет на причину невозможности соединения.

Настройка LDAP-коннектора завершена. Для входа в веб-консоль управляемой области пользователям LDAP необходимо указывать имя в формате <домен>\<логин>/system или <логин>@<домен>/system.

Сервер аутентификации RADIUS

Сервер аутентификации RADIUS позволяет производить авторизацию пользователей в веб-консоли управляемой области, которая выступает в роли RADIUS-клиента. При авторизации через RADIUS-сервер UserGate посылает на серверы RADIUS информацию с именем и паролем пользователя, а RADIUS-сервер отвечает, успешно прошла аутентификация или нет.

Важно!Перед выполнением описанных ниже шагов убедитесь, что RADIUS-сервер настроен для работы с UGMC (в раздел «RADIUS Clients and Servers» добавлена запись с IP-адресом UGMC). В противном случае сервер не будет отвечать на запросы. Пример настройки RADIUS-сервера — в разделе «Авторизация с помощью RADUIS».

Чтобы добавить RADIUS-сервер:

1. В веб-консоли управляемой области в разделе Управление областью ➜ Центр управления ➜ Серверы аутентификации нажмите Добавить и выберите Добавить RADIUS-сервер.

2. В окне Свойства RADIUS-сервера коннектора укажите название RADIUS-сервера.

3. Добавьте IP-адрес RADIUS-сервера и UDP-порт, на котором RADIUS-сервис слушает запросы на аутентификацию (по умолчанию — 1812).

4. В поле Секрет введите пароль, указанный при настройке RADIUS-сервера.

5. Установите флажок Включено, чтобы начать использовать RADIUS-сервер, и сохраните изменения.

Для авторизации пользователей в веб-консоли управляемой области с помощью сервера RADIUS необходимо настроить профиль аутентификации. Подробнее о создании и настройке профилей — в разделе «Профили аутентификации области».

Сервер аутентификации TACACS+

Сервер TACACS+ позволяет производить авторизацию пользователей в веб-консоли управляемой области. При использовании сервера UserGate передаёт на серверы аутентификации информацию с именем и паролем пользователя, после чего серверы TACACS+ отвечают, успешно прошла аутентификация или нет.

Чтобы добавить сервер TACACS+:

1. В веб-консоли управляемой области в разделе Управление областью ➜ Центр управления ➜ Серверы аутентификации нажмите Добавить и выберите Добавить TACACS+ сервер.

2. В окне Свойства TACACS+ сервера укажите название сервера.

3. В поле Секретный ключ введите общий ключ, используемый протоколом TACACS+ для аутентификации.

4. Укажите IP-адрес сервера TACACS+ и UDP-порт, на котором сервер TACACS+ слушает запросы на аутентификацию.

5. Если необходимо использовать одно TCP-соединение для работы с сервером TACACS+, установите соответствующий флажок.

6. Если необходимо, измените время ожидания сервера TACACS+ для прохождения аутентификации. По умолчанию — 4 секунды.

7. Установите флажок Включен, чтобы начать использовать RADIUS-сервер, и сохраните изменения.

Для авторизации пользователей в веб-консоли управляемой области с помощью сервера TACACS+ необходимо настроить профиль аутентификации. Подробнее о создании и настройке профилей — в разделе «Профили аутентификации области».