Серверы аутентификации — это внешние источники учетных записей пользователей, например LDAP-сервер, или серверы, производящие аутентификацию для UserGate SWG, например RADIUS, TACACS+, Kerberos, SAML.

Серверы аутентификации RADIUS, TACACS+, NTLM, SAML могут осуществлять только аутентификацию пользователей, в то время как LDAP-коннектор позволяет также получать информацию о пользователях и их свойствах.

LDAP-коннектор

LDAP-коннектор позволяет:

Получать информацию о пользователях и группах Active Directory или других LDAP-серверов. Поддерживается работа с LDAP-сервером FreeIPA. Пользователи и группы могут быть использованы при настройке правил фильтрации.
Осуществлять авторизацию пользователей через домены Active Directory/FreeIPA с использованием методов аутентификации Captive-портал, Kerberos, NTLM.

Для создания LDAP-коннектора в разделе Настройки ➜ Пользователи и устройства ➜ Серверы аутентификации нажмите Добавить, выберите Добавить LDAP-коннектор и укажите параметры коннектора.

Параметр	Описание
Включено	Включает или отключает использование данного сервера аутентификации
Название	Название сервера аутентификации
SSL	Определяет, требуется ли SSL-соединение для подключения к LDAP-серверу
Доменное имя LDAP или IP-адрес	IP-адрес контроллера домена, FQDN контроллера домена или FQDN домена (например, test.local). Если указан FQDN контроллера домена, то UserGate SWG получит адрес контроллера домена с помощью DNS-запроса. Если указан FQDN домена, то при отключении основного контроллера домена, UserGate SWG будет использовать резервный. В случае недоступности части контроллеров домена с площадки, где работает UserGate SWG, следует добавить статическую запись в настройки DNS, где были бы указаны адреса доступных контроллеров, и использовать имя этой записи в коннекторе
Bind DN («login»)	Имя пользователя, которое необходимо использовать для подключения к серверу LDAP. Имя необходимо использовать в формате DOMAIN\username или username@domain. Данный пользователь уже должен быть заведен в домене
Пароль	Пароль пользователя для подключения к домену
Срок жизни LDAP-кэша	Срок жизни LDAP-кэша (от 1 до 48 часов). Новый срок жизни применяется к новым записям, добавляемым в LDAP-кэш после того, как администратор его установит
Домены LDAP	Список доменов, которые обслуживаются указанным контроллером домена, например, в случае дерева доменов или леса доменов Active Directory. При наличии поддоменов, в которых может происходить авторизация пользователей, на вкладке Домены LDAP необходимо указывать все варианты таких поддоменов. Здесь же можно указать короткое netbios имя домена. Список доменов, указанный здесь будет использован для выбора на странице авторизации Captive-портала при включении соответствующей опции. Подробнее о настройке Captive-портала — в разделе «Настройка Captive-портала»
Пути поиска	Список путей в сервере LDAP, начиная с которых система будет осуществлять поиск пользователей и групп. Необходимо указывать полное имя, например, `ou=Office,dc=example,dc=com`
Kerberos keytab	Здесь можно загрузить keytab-файл для аутентификации Kerberos. Подробнее об аутентификации Kerberos и создании keytab-файла — в разделе «Метод аутентификации Kerberos»

После создания сервера вы можете проверить корректность параметров, нажав Проверить соединение. Если параметры указаны верно, система сообщит об этом, либо укажет на причину невозможности соединения.

ПримечаниеДля аутентификации пользователей с помощью LDAP-коннектора необходимо, чтобы пользователи входили в доменную группу Domain users.

Настройка LDAP-коннектора завершена. Для авторизации LDAP-пользователей по имени и паролю необходимо создать правила Captive-портала. Подробнее о Captive-портале — в разделе «Настройка Captive-портала».

Для добавления пользователя или группы пользователей LDAP в правила фильтрации нажмите Добавить пользователя LDAP/Добавить группу LDAP, в поле поиска укажите как минимум один символ, входящий в имена искомых объектов, после чего нажмите Поиск и выберите желаемые группы или пользователей.

Сервер аутентификации пользователей RADIUS

Сервер RADIUS позволяет производить аутентификацию пользователей на серверах RADIUS, то есть UserGate SWG выступает в роли RADIUS-клиента. При авторизации через RADIUS-сервер UserGate SWG посылает на серверы RADIUS информацию с именем и паролем пользователя, а RADIUS-сервер отвечает, успешно прошла аутентификация или нет.

Сервер RADIUS не может предоставить список пользователей в UserGate SWG, поэтому, если пользователи не были заведены в UserGate SWG предварительно (например, локальные пользователи или полученные из домена AD с помощью LDAP-коннектора), в политиках фильтрации можно использовать только пользователей типа Known (успешно прошедших аутентификацию на сервере RADIUS) или Unknown (не прошедших аутентификацию).

Для создания сервера аутентификации RADIUS в разделе Настройки ➜ Пользователи и устройства ➜ Серверы аутентификации нажмите Добавить, выберитеь Добавить RADIUS-сервер и укажите параметры сервера.

Параметр	Описание
Включен	Включает или отключает использование данного сервера аутентификации
Название сервера	Название сервера аутентификации
Секрет	Общий ключ, используемый протоколом RADIUS для аутентификации
Хост	IP-адрес сервера RADIUS
Порт	UDP-порт, на котором сервер RADIUS слушает запросы на аутентификацию. По умолчанию это порт UDP 1812

После создания сервера аутентификации настройте Captive-портал для использования метода RADIUS. Подробнее о Captive-портале — в разделе «Настройка Captive-портала».

Сервер аутентификации пользователей TACACS+

Сервер TACACS+ позволяет производить аутентификацию пользователей на серверах TACACS+. При аутентификации через TACACS+ UserGate SWG посылает на серверы TACACS+ информацию с именем и паролем пользователя, а сервер TACACS+ отвечает, успешно прошла аутентификация или нет.

Сервер TACACS+ не может предоставить список пользователей в UserGate SWG, поэтому, если пользователи не были заведены в UserGate SWG предварительно (например, локальные пользователи или полученные из домена AD с помощью LDAP-коннектора), в политиках фильтрации можно использовать только пользователей типа Known (успешно прошедших аутентификацию на сервере TACACS+) или Unknown (не прошедших аутентификацию).

Для создания сервера аутентификации TACACS+ в разделе Настройки ➜ Пользователи и устройства ➜ Серверы аутентификации нажмите Добавить, выберите Добавить TACACS+-сервер и укажите параметры сервера.

Параметр	Описание
Включен	Включает или отключает использование данного сервера аутентификации
Название сервера	Название сервера аутентификации
Секретный ключ	Общий ключ, используемый протоколом TACACS+ для аутентификации
Адрес	IP-адрес сервера TACACS+
Порт	Порт, на котором сервер TACACS+ слушает запросы на аутентификацию. По умолчанию это порт TCP 49
Использовать одно TCP-соединение	Использовать одно TCP-соединение для работы с сервером TACACS+ Важно! Чтобы эта опция работала, необходимо настроить ее также на стороне сервера TACACS+.
Таймаут (сек)	Время ожидания сервера TACACS+ для получения аутентификации. По умолчанию 4 секунды

Сервер аутентификации пользователей SAML IDP

Сервер аутентификации SAML IDP (Security Assertion Markup Language Identity Provider) позволяет аутентифицировать пользователей c помощью развернутой на предприятии системе Single Sign-On (SSO), например Microsoft Active Directory Federation Service. Это позволяет пользователю, единожды авторизовавшись в системе SSO, прозрачно проходить аутентификацию на всех ресурсах, поддерживающих аутентификацию SAML. UserGate SWG может быть настроен в качестве сервис-провайдера SAML, использующего сервера SAML IDP для авторизации клиента.

Сервер SAML IDP не может предоставить свойства пользователей в UserGate SWG поэтому, если не настроено подключение к домену AD с помощью LDAP-коннектора, в политиках фильтрации можно использовать только пользователей типа Known (успешно прошедших аутентификацию на сервере SAML) или Unknown (не прошедших аутентификацию).

Для использования аутентификации с помощью сервера SAML IDP:

1. На контроллере домена создайте DNS-запись, соответствующую UserGate SWG, для использования в качестве домена для auth.captive. В качестве IP-адреса укажите адрес интерфейса UserGate SWG, принадлежащего зоне Trusted.

2. Настройте DNS-серверы на UserGate SWG. В параметрах UserGate SWG в качестве системных DNS-серверов укажите IP-адреса контроллеров домена.

3. Измените адрес домена auth captive-портала в разделе Настройки ➜ UserGate ➜ Настройки на созданную на предыдущем шаге запись DNS. Подробнее об изменении адреса домена auth Captive-портала — в разделе «Общие настройки».

4. Настройте сервер SAML IDP. Добавьте на сервере SAML IDP запись о сервис-провайдере UserGate SWG, указывая созданное на шаге 1 FQDN-имя.

5. В разделе Настройки ➜ Пользователи и устройства ➜ Серверы аутентификации нажмите Добавить, выберите Добавить SAML IDP-сервер и укажите параметры сервера.

Параметр	Описание
Включен	Включение или отключение использования данного сервера аутентификации
Название сервера	Название сервера аутентификации
Описание	Описание сервера аутентификации
SAML metadata URL	URL на сервере SAML IDP, откуда можно скачать xml-файл с корректной конфигурацией для сервис-провайдера (клиента) SAML. При нажатии Загрузить происходит заполнение необходимых полей настройки сервера аутентификации данными, полученными из xml-файла. Это предпочтительный метод настройки сервера аутентификации SAML IDP. Подробно о сервере SAML смотрите в соответствующей документации
Сертификат SAML IDP	Сертификат, который будет использован в SAML-клиенте. Возможные варианты: Создать новый сертификат из скачанного — если при настройке был использован метод загрузки xml- файла, то сертификат автоматически создается и ему назначается роль SAML IDP (подробнее — в разделе «Управление сертификатами»). Использовать существующий сертификат. Сертификат уже должен быть создан или импортирован в разделе Настройки ➜ UserGate ➜ Сертификаты, и ему не должна быть назначена роль. После создания и сохранения сервера аутентификации этому сертификату будет назначена роль SAML IDP. Не использовать сертификат
Single sign-on URL	URL, используемый в сервере SAML IDP в качестве единой точки входа. Смотрите документацию на используемый у вас сервер SAML IDP для более детальной информации
Single sign-on binding	Метод, используемый для работы с единой точкой входа SSO. Возможные варианты — POST и Redirect. Смотрите документацию на используемый у вас сервер SAML IDP для более детальной информации
Single logout URL	URL, используемый в сервере SAML IDP в качестве единой точки выхода. Смотрите документацию на используемый у вас сервер SAML IDP для более детальной информации
Single logout binding	Метод, используемый для работы с единой точкой выхода SSO. Возможные варианты — POST и Redirect. Смотрите документацию на используемый у вас сервер SAML IDP для более детальной информации

Сервер аутентификации NTLM

Аутентификация NTLM позволяет прозрачно (без запроса имени пользователя и его пароля) авторизовать пользователей домена Active Directory. При аутентификации с помощью NTLM UserGate SWG работает с контроллерами домена, выполняющими проверку пользователя с целью получения доступа в интернет.

Сервер NTLM не может предоставить список пользователей в UserGate SWG, поэтому, если пользователи не были заведены в UserGate SWG предварительно (например, локальные пользователи или полученные из домена AD с помощью LDAP-коннектора), в политиках фильтрации можно использовать только пользователей типа Known (успешно прошедших аутентификацию на сервере NTLM) или Unknown (не прошедших аутентификацию).

Аутентификация NTLM может работать как при явном указании прокси-сервера в браузере пользователя (это стандартный режим), так и в прозрачном режиме, когда прокси-сервер в браузере не указан. Настройка UserGate SWG не отличается от режима работы утентификации.

Для настройки аутентификации с помощью NTLM:

1. Настройте синхронизацию времени с контроллером домена. В настройках UserGate SWG в разделе Настройки ➜ UserGate ➜ Настройки включите синхронизацию времени с серверами NTP, в качестве основного и (опционально) запасного NTP-сервера укажите IP-адреса контроллеров домена.

2. На контроллере домена создайте DNS-записи, соответствующие UserGate SWG для использования в качестве домена для auth.captive и logout.captive..В качестве IP-адреса укажите адрес интерфейса UserGate SWG, принадлежащего зоне Trusted.

3. Для домена auth Captive-портала укажите созданную на предыдущем шаге запись DNS. Для домена logout Captive-портала укажите созданную на предыдущем шаге запись DNS. Подробнее об изменении адресов доменов auth Captive-портала и logout Captive-портала — в разделе «Настройка Captive-портала».

4. Добавьте NTLM-сервер. В разделе Настройки ➜ Пользователи и устройства ➜ Серверы аутентификации нажмите Добавить, выберите Добавить NTLM-сервер и укажите название и имя домена Windows. Для корректной работы аутентификации NTLM, необходимо, чтобы указанное здесь имя домена определялось в IP-адреса контроллеров домена.

5. Создайте правило Captive-портала с аутентификацией NTLM. Подробнее о Captive-портале — в разделе «Настройка Captive-портала».

6. Разрешите доступ к сервису HTTP(S)-прокси для зоны, к которой подключены пользователи, авторизующиеся с помощью NTLM.

7. Для аутентификации в стандартном режиме настройте обязательное использование прокси-сервера на компьютерах пользователей. Укажите IP-адрес интерфейса UserGate SWG в качестве адреса прокси-сервера.

Важно! Вместо IP-адреса можно использовать доменное имя, но для NTLM важно, чтобы это имя было не из домена Active Directory, иначе Windows-компьютер будет пытаться использовать аутентификацию Kerberos.

Важно! В настройках UserGate SWG имена, используемые в качестве домена для auth.captive и logout.captive, не должны быть из домена Active Directory, иначе Windows-компьютер будет пытаться использовать аутентификацию Kerberos.

8. Для аутентификации в прозрачном режиме настройте автоматическую проверку подлинности пользователя браузером для всех зон.На компьютерах пользователей зайдите в Панель управления ➜ Свойства браузера ➜ Безопасность, выберите зону интернет ➜ Уровень безопасности ➜ Другой ➜ Проверка подлинности пользователя и установите Автоматический вход в сеть с текущем именем пользователя и паролем (Control panel ➜ Internet options ➜ Security, выберите зону Internet ➜ Custom level ➜ User authentication ➜ Logon и установите Automatic logon with current name and password).

Повторите настройку для всех других зон, настроенных на данном компьютере (Local intranet, Trusted sites).

Метод аутентификации Kerberos

Аутентификация Kerberos позволяет прозрачно (без запроса имени пользователя и его пароля) аутентифицировать пользователей домена Active Directory. При аутентификации через Kerberos UserGate SWG работает с контроллерами домена, которые выполняют проверку пользователя, получающего доступ в интернет.

Аутентификация Kerberos может работать как при явном указании прокси-сервера в браузере пользователя (это стандартный режим), так и в прозрачном режиме, когда прокси-сервер в браузере не указан.

Для аутентификации с помощью Kerberos:

1. На контроллере домена создайте DNS-записи UserGate SWG для использования в качестве доменов для auth.captive и logout.captive. В качестве IP-адреса укажите адрес интерфейса UserGate SWG, принадлежащего зоне Trusted.

Важно! Для корректной работы создайте записи типа A, не используйте CNAME-записи.

2. Создайте учетную запись в домене AD и отключите для нее требование смены пароля.

Важно! Не используйте символы национальных алфавитов, например кириллицу, в имени учетной записи или в организационных единицах Active Directory, где вы планируете создать учетную запись.

Важно! Не используйте в качестве учетной записи для Kerberos запись, созданную для работы LDAP-коннектора. Необходимо использовать отдельную учетную запись.

3. На контроллере домена создайте keytab-файл, выполнив команду вида:

ktpass.exe /princ HTTP/auth.domain.loc@DOMAIN.LOC /mapuser kerb@DOMAIN.LOC /crypto ALL /ptype KRB5_NT_PRINCIPAL /pass * /out C:\utm.keytab

Важно! Команда чувствительна к регистру букв. В данном примере:

auth.domain.loc — DNS-запись, созданная для сервера UserGate на шаге 1;
DOMAIN.LOC — Kerberos realm domain (обязательно большими буквами);
kerb@DOMAIN.LOC — имя учетной записи в домене, созданное на шаге 2 (имя realm-домена обязательно большими буквами).

4. Настройте DNS-серверы на UserGate SWG. В качестве системных DNS-серверов укажите IP-адреса контроллеров домена.

5. Включите на UserGate SWG в разделе Настройки ➜ UserGate ➜ Настройки синхронизацию времени с серверами NTP, в качестве основного и (опционально) запасного NTP-сервера укажите IP-адреса контроллеров домена.

6. Измените адрес домена auth captive-портала и опционально адрес домена logout captive-портала в разделе Настройки ➜ UserGate ➜ Настройки на созданные ранее записи DNS. Подробнее об изменении адресов доменов — в разделе «Общие настройки».

7. Создайте сервер аутентификации LDAP и загрузите полученный на предыдущем шаге keytab-файл. Подробнее о настройке LDAP-коннектора — разделе «LDAP-коннектор».

Важно! Не используйте в качестве учетной записи для LDAP-коннектора запись, созданную ранее для работы Kerberos. Необходимо использовать отдельную учетную запись.

8. Создайте правило Captive-портала для использования метода аутентификации Kerberos. Подробнее о Captive-портале — в разделе «Настройка Captive-портала».

9. Откройте доступ к сервису HTTP(S)-прокси в свойствах контроля доступа зоны, к которой подключены пользователи, авторизующиеся с помощью Kerberos.

10. Для аутентификации в стандартном режиме настройте обязательное использование прокси-сервера на компьютерах пользователей. Укажите FQDN UserGate SWG в качестве адреса прокси-сервера.

11. Для аутентификации в прозрачном режиме настройте автоматическую проверку подлинности пользователя браузером для всех зон.На компьютерах пользователей зайдите в Панель управления ➜ Свойства браузера ➜ Безопасность, выберите зону интернет ➜ Уровень безопасности ➜ Другой ➜ Проверка подлинности пользователя и установите Автоматический вход в сеть с текущем именем пользователя и паролем (Control panel ➜ Internet options ➜ Security, выберите зону Internet ➜ Custom level ➜ User authentication ➜ Logon и установите Automatic logon with current name and password).

Повторите настройку для всех других зон, настроенных на данном компьютере (Local intranet, Trusted sites).

Метод аутентификации HTTP Basic

Аутентификация Basic позволяет авторизовать пользователей с явно указанным прокси-сервером по базе локальных и LDAP-пользователей. Не рекомендуется использовать этот тип аутентификации для пользователей, поскольку имя пользователя и пароль передаются в открытом виде по сети. Аутентификацию HTTP Basic можно использовать для автоматической авторизации утилит командной строки, которым необходим доступ в интернет, например:

curl -x 192.168.179.10:8090 -U user: password http://www.msn.com

Для аутентификации с помощью HTTP Basic:

1. На контроллере домена создайте DNS-записи, соответствующие UserGate SWG, для использования в качестве домена для auth.captive и logout.captive. В качестве IP-адреса укажите адрес интерфейса UserGate SWG, принадлежащего зоне Trusted.

2. Измените адрес домена auth Captive-портала и (опционально) адрес домена logout Captive-портала в разделе Настройки ➜ UserGate ➜ Настройки на созданные на предыдущем шаге записи DNS. Подробнее об изменении адресов доменов — в разделе «Общие настройки».

3. Создайте правило Captive-портала для использования метода аутентификации HTTP Basic. Подробнее о Captive-портале — в разделе «Настройка Captive-портала».

4. Откройте доступ к сервису HTTP(S)-прокси в свойствах контроля доступа зоны, из которой происходит авторизация с помощью HTTP Basic.

5. На устройствах, c которых выполняется авторизация, укажите обязательное использование прокси-сервера. Укажите IP-адрес зоны Trusted интерфейса UserGate SWG в качестве адреса прокси-сервера.