Серверы аутентификации — это внешние источники учетных записей пользователей, которые можно использовать для авторизации в веб-консоли управления UGMC. UGMC поддерживает следующие серверы аутентификации: LDAP-коннектор, RADIUS и TACACS+.

LDAP-коннектор

LDAP-коннектор позволяет:

Получать информацию о пользователях и группах Active Directory или других LDAP-серверов. Поддерживается работа с LDAP-сервером FreeIPA.
Выполнять авторизацию администраторов UGMC через домены Active Directory и FreeIPA.

Чтобы добавить LDAP-коннектор:

1. На странице Центр управления в разделе Центр управления ➜ Серверы аутентификации нажмите Добавить и выберите Добавить LDAP-коннектор.

2. В окне Свойства коннектора LDAP укажите название LDAP-коннектора.

3. В поле Доменное имя LDAP или IP-адрес укажите IP-адрес контроллера домена, FQDN контроллера домена или FQDN домена (например, test.local). Если указан FQDN контроллера домена, то UserGate получит адрес контроллера домена с помощью DNS-запроса. Если указан FQDN домена, то при отключении основного контроллера домена UserGate будет использовать резервный контроллер.

4. В поле Привязать DN (логин) укажите логин, который необходимо использовать для подключения к серверу LDAP. Логин необходимо указать в формате <домен>\<логин> или <логин>@<домен>. Этот пользователь уже должен быть создан в домене.

5. Укажите пароль пользователя для подключения к домену.

6. Если необходимо, на вкладке Домены LDAP добавьте домены, которые обслуживаются указанным контроллером домена. Например, если используется дерево доменов или лес доменов Active Directory. Здесь же можно указать короткое netbios-имя домена.

7. На вкладке Пути поиска укажите пути, начиная с которых система будет осуществлять поиск пользователей и групп. Необходимо указывать полное имя, например ou=Office,dc=example,dc=com.

8. Если необходимо, на вкладке Настройки установите флажок Использовать для соединений SSL, чтобы использовать SSL-соединение для подключения к LDAP-серверу.

9. Установите флажок Включено, чтобы начать использовать LDAP-коннектор, и сохраните изменения.

После создания сервера необходимо проверить корректность параметров, нажав на кнопку Проверить соединение. Если параметры указаны верно, система сообщит об этом либо укажет на причину невозможности соединения.

Настройка LDAP-коннектора завершена. Для входа в веб-консоль управления UGMC пользователям LDAP необходимо указывать логин в формате <домен>\<логин>/system или <логин>@<домен>/system.

Сервер аутентификации RADIUS

Сервер аутентификации RADIUS позволяет производить авторизацию пользователей в веб-консоли управления UGMC, который выступает в роли RADIUS-клиента. При авторизации через RADIUS-сервер UGMC посылает на RADIUS-сервер информацию с именем и паролем пользователя, а RADIUS-сервер отвечает, успешно прошла аутентификация или нет.

Важно!Перед выполнением описанных ниже шагов убедитесь, что RADIUS-сервер настроен для работы с UGMC (в раздел «RADIUS Clients and Servers» добавлена запись с IP-адресом UGMC). В противном случае сервер не будет отвечать на запросы. Пример настройки RADIUS-сервера — в разделе «Авторизация с помощью RADUIS».

Чтобы добавить RADIUS-сервер:

1. На странице Центр управления в разделе Центр управления ➜ Серверы аутентификации нажмите Добавить и выберите Добавить RADIUS-сервер.

2. В окне Свойства RADIUS-сервера коннектора укажите название RADIUS-сервера.

3. Добавьте IP-адрес RADIUS-сервера и UDP-порт, на котором RADIUS-сервис слушает запросы на аутентификацию (по умолчанию — 1812).

4. В поле Секрет введите пароль, указанный при настройке RADIUS-сервера.

5. Установите флажок Включено, чтобы начать использовать RADIUS-сервер, и сохраните изменения.

Для авторизации пользователей в веб-консоли управления UGMC с помощью RADIUS-сервера необходимо настроить профиль аутентификации. Подробнее о создании и настройке профилей — в разделе «Профили аутентификации».

Сервер аутентификации TACACS+

Сервер TACACS+ позволяет производить авторизацию пользователей в веб-консоли управления UGMC. При использовании сервера TACACS+ UserGate MC передает на него информацию с именем и паролем пользователя, после чего сервер TACACS+ отвечает, успешно прошла аутентификация или нет.

Чтобы добавить сервер TACACS+:

1. На странице Центр управления в разделе Центр управления ➜ Серверы аутентификации нажмите Добавить и выберите Добавить TACACS+ сервер.

2. В окне Свойства TACACS+ сервера укажите название сервера.

3. В поле Секретный ключ введите общий ключ, используемый протоколом TACACS+ для аутентификации.

4. Укажите IP-адрес сервера TACACS+ и UDP-порт, на котором сервер TACACS+ слушает запросы на аутентификацию.

5. Если необходимо использовать одно TCP-соединение для работы с сервером TACACS+, установите соответствующий флажок.

6. Если необходимо, измените время ожидания сервера TACACS+ для прохождения аутентификации. По умолчанию — 4 секунды.

7. Установите флажок Включен, чтобы начать использовать RADIUS-сервер, и сохраните изменения.

Для авторизации пользователей в веб-консоли управления UGMC с помощью сервера TACACS+ необходимо настроить профиль аутентификации. Подробнее о создании и настройке профилей — в разделе «Профили аутентификации».