ID статьи: 20
Последнее обновление: 15 июл, 2024
KnowledgeBase: Product: UserGate NGFW Version: 5.x, 6.1.8, 6.1.9
Для пользователей, работающих на операционной системе Windows, существует еще один способ идентификации - использование специального агента авторизации. Агент представляет собой сервис, который передает на сервер UserGate информацию о пользователе, его имя и IP-адрес, соответственно, UserGate будет однозначно определять все сетевые подключения данного пользователя. При использовании агента авторизации идентификация другими методами не требуется. Дистрибутив агента терминального сервера UserGateФайлы дистрибутива агента терминального сервера UserGate доступны в личном кабинете клиента UserGate по адресу https://my.usergate.com, в разделе Все загрузки. Перейдите в раздел загрузок и найдите ссылку Скачать агент авторизации для терминального сервера. В скачанном архиве находятся две версии ПО – для 32-битных систем и для 64-битных. Выберите для установки подходящую вам версию дистрибутива. Агент терминального сервера может быть установлен на пользовательский компьютер под управлением ОС Windows Server 2008 и выше. Программное обеспечение устанавливается в каталог “%ALLUSERSPROFILE%\Entensys\Terminal Server Agent”. В каталоге, вы можете найти два исполняемых файла – tsagent.exe и config.exe. Файл tsagent.exe регистрируется в системе, в качестве службы, которую можно наблюдать в оснастке управления службами. В описании службы сказано “UserGate Terminal Server Agent”. Агент не отправляет на устройство UserGate никаких пользовательских данных, кроме информации об имени пользователя, которые ассоциируются на устройстве с сетевыми коммуникациями, производимыми в рамках терминальных сессий. Используя файл config.exe, можно перенастроить параметры соединения с сервером UserGate, заданные при первоначальной установке ПО, а также параметры периодичности отправки данных. Конфигурации подключения к серверу UserGate хранятся в файле %ALLUSERSPROFILE%\Entensys\Terminal Server Agent\tsagent.cfg. В этом же каталоге хранится лог файл работы сервиса. При диагностике проблем с работой сервиса рекомендуется сопровождать обращения в техническую поддержку данным файлом, также самостоятельно можно диагностировать возможные причины проблем в работе ПО. Подготовка устройства UserGate к подключению терминальных агентовДля того, чтобы успешно подключить агент терминального сервера к устройству UserGate необходимо выполнить несколько простых шагов.
Для настройки параметров зоны войдите в консоль администрирования устройства. Перейдите в раздел Сеть ➜ Зоны и выберите соответствующую вашим конфигурациям зону. По умолчанию, внутренний трафик поступает на устройство из зоны Trusted. Откройте свойства зоны и убедитесь, что во вкладке Контроль доступа отмечен чекбокс Агент авторизации.
Для версий UserGate 6.1.4 и ниже: для конфигурации пароля агентов перейдите в раздел Пользователи и устройства ➜ Терминальные серверы. В данном разделе будут отображаться все подключенные агенты терминальных серверов. Также в данном разделе можно управлять подключениями агентов. Чтобы задать пароль для подключения агентов, нажмите на кнопку Настройки и установите пароль. Для версий UserGate 6.1.5 и выше: перейдите в раздел UserGate ➜ Настройки ➜ Модули и в поле Пароль агентов терминального сервиса укажите пароль агентов. Установка агента терминального сервера UserGateАгентское ПО может быть установлено как в ручном режиме, так и при помощи различных средств автоматизации. ПримечаниеУстановка агента должна производиться пользователем с полномочиями администратора системы.
Для установки ПО в ручном режиме, запустите установочный файл, подходящий для вашей системы. Во время установки запустится мастер настройки агента, который предложит ввести настройки подключения к устройству UserGate. Минимальные достаточные для установки агента данные составляют IP-адрес устройства и пароль для подключения к устройству. Так как ПО распространяется в виде MSI пакета, его возможно установить и сконфигурировать в автоматическом режиме. Например, ПО можно распространить, применяя групповые политики Microsoft Active Directory. Также ПО можно установить и сконфигурировать, запустив утилиту Windows Installer msexec.exe. Пример команды для скрытой автоматической установки ПО:
Ключ /log является опциональным и позволяет создать журнал установки процесса установки ПО и убедиться, что установка прошла корректно. Ключ /quiet скрывает графический интерфейс установщика ПО. Иными словами установка ПО произойдет в скрытом режиме. Далее указываются два обязательных параметра конфигурации в формате КЛЮЧ=ЗНАЧЕНИЕ. Таким образом мы сообщаем установщику IP-адрес устройства UserGate и регистрационный пароль. После успешной установки и регистрации ПО, в административном интерфейсе UserGate появится запись о зарегистрированном агенте. Обратите внимание, агент находится в отключенном состоянии. Необходимо активировать подключение со стороны устройства: После установки, регистрации и активации клиента, может понадобиться некоторое время (для синхронизации данных), прежде чем в журналах отобразится информация о пользователях, работающих через терминального сервера. Для версий UserGate 6.1.5 и выше. В разделе Пользователи и устройства ➜ Терминальные серверы необходимо добавить агентов терминального сервера, указав имя и адрес хоста. После получения данных с указанного в настройках хоста и совпадении пароля авторизация пользователей будет включена автоматически. При обновлении версии UserGate агенты терминальных серверов, которые ранее отображались в веб-консоли, будут продолжать работать. Авторизация локальных пользователей терминального сервераАгент терминального сервера может авторизовать не только доменных, но и локальных пользователей терминального сервера. Для этого необходимо внести изменения в файл конфигурации (%ALLUSERSPROFILE%\Entensys\Terminal Server Agent\tsagent.cfg): LocalDomain = 1 Перезапустите сервис терминального агента. В результате в журналах веб-доступа и трафика веб-консоли администратора будут отображаться локальные пользователи терминального сервера. Таких пользователей также необходимо добавить как локальных, чтобы их можно было указывать в правилах. Для этого перейдите в раздел Пользователи и устройства ➜ Пользователи и добавьте нового пользователя. Во вкладке Общие в поле Логин необходимо указать запись вида: «имя компьютера_имя пользователя». Пароль указывать не нужно. Примечание Имя компьютера должно состоять из букв, цифр и знака подчёркивания; использование тире не допускается.
Для авторизации клиентов терминального сервера через агент авторизации не требуется создания правил captive-портала. Если пользователь терминального сервера успешно авторизуется через captive-портал, то эта авторизация применится ко всем пользователям сервера. Для исключения авторизации сервера, например по kerberos, необходимо создать правило captive-портала. Во вкладке Общие необходимо указать:
Во вкладке Источник необходимо указать адреса терминальных серверов. Список IP-адресов терминальных серверов может быть создан в разделе Библиотеки ➜ IP-адреса или при настройке правила captive-портала. Также можно использовать уже существующее правило captive-портала. Тогда после указания адресов терминальных серверов во вкладке Источник необходимо отметить чекбокс Инвертировать.
Эта статья была:
Полезна |
Не полезна
Сообщить об ошибке
ID статьи: 20
Последнее обновление: 15 июл, 2024
Ревизия: 11
Просмотры: 7070
Комментарии: 0
Теги
|