Установка и настройка агента терминального сервера UserGate

ID статьи: 20
Последнее обновление: 30 мар, 2023
KnowledgeBase:
Product: UserGate NGFW
Version: 5.x, 6.1.8, 6.1.9

Для пользователей, работающих на операционной системе Windows, существует еще один способ идентификации - использование специального агента авторизации. Агент представляет собой сервис, который передает на сервер UserGate информацию о пользователе, его имя и IP-адрес, соответственно, UserGate будет однозначно определять все сетевые подключения данного пользователя. При использовании агента авторизации идентификация другими методами не требуется.

Дистрибутив агента терминального сервера UserGate

Файлы дистрибутива агента терминального сервера UserGate доступны в личном кабинете клиента UserGate по адресу https://my.usergate.com, в разделе Все загрузки.

Перейдите в раздел загрузок и найдите ссылку Скачать агент авторизации для терминального сервера. В скачанном архиве находятся две версии ПО – для 32-битных систем и для 64-битных. Выберите для установки подходящую вам версию дистрибутива.

Программное обеспечение устанавливается в каталог “%ALLUSERSPROFILE%\Entensys\Terminal Server Agent”.

В каталоге, вы можете найти два исполняемых файла – tsagent.exe и config.exe. Файл tsagent.exe регистрируется в системе, в качестве службы, которую можно наблюдать в оснастке управления службами. В описании службы сказано “UserGate Terminal Server Agent”. Агент не отправляет на устройство UserGate никаких пользовательских данных, кроме информации об имени пользователя, которые ассоциируются на устройстве с сетевыми коммуникациями, производимыми в рамках терминальных сессий.

Используя файл config.exe, можно перенастроить параметры соединения с сервером UserGate, заданные при первоначальной установке ПО, а также параметры периодичности отправки данных.

Конфигурации подключения к серверу UserGate хранятся в файле %ALLUSERSPROFILE%\Entensys\Terminal Server Agent\tsagent.cfg. В этом же каталоге хранится лог файл работы сервиса. При диагностике проблем с работой сервиса рекомендуется сопровождать обращения в техническую поддержку данным файлом, также самостоятельно можно диагностировать возможные причины проблем в работе ПО.

Подготовка устройства UserGate к подключению терминальных агентов

Для того, чтобы успешно подключить агент терминального сервера к устройству UserGate необходимо выполнить несколько простых шагов.

  1. Убедиться, что в зоне подключения терминального сервера разрешен трафик агента.

Для настройки параметров зоны войдите в консоль администрирования устройства. Перейдите в раздел Сеть ➜ Зоны и выберите соответствующую вашим конфигурациям зону. По умолчанию, внутренний трафик поступает на устройство из зоны Trusted. Откройте свойства зоны и убедитесь, что во вкладке Контроль доступа отмечен чекбокс Агент авторизации.

image86

  1. Задать пароль для подключения агента.

Для версий UserGate 6.1.4 и ниже: для конфигурации пароля агентов перейдите в раздел Пользователи и устройства ➜ Терминальные серверы. В данном разделе будут отображаться все подключенные агенты терминальных серверов. Также в данном разделе можно управлять подключениями агентов.

Чтобы задать пароль для подключения агентов, нажмите на кнопку Настройки и установите пароль.

Для версий UserGate 6.1.5 и выше: перейдите в раздел UserGate ➜ Настройки ➜ Модули и в поле Пароль агентов терминального сервиса укажите пароль агентов.

Установка агента терминального сервера UserGate

Агентское ПО может быть установлено как в ручном режиме, так и при помощи различных средств автоматизации.

ПримечаниеУстановка агента должна производиться пользователем с полномочиями администратора системы.

Для установки ПО в ручном режиме, запустите установочный файл, подходящий для вашей системы. Во время установки запустится мастер настройки агента, который предложит ввести настройки подключения к устройству UserGate.

Минимальные достаточные для установки агента данные составляют IP-адрес устройства и пароль для подключения к устройству.

Так как ПО распространяется в виде MSI пакета, его возможно установить и сконфигурировать в автоматическом режиме. Например, ПО можно распространить, применяя групповые политики Microsoft Active Directory.

Также ПО можно установить и сконфигурировать, запустив утилиту Windows Installer msexec.exe.

Пример команды для скрытой автоматической установки ПО:

msiexec.exe /log install.log -i \\file-server\TerminalServerAgent-x64.msi /quiet SERVER_ADDRESS=[ip-address] UTM_PASSWORD=[password]

Ключ /log является опциональным и позволяет создать журнал установки процесса установки ПО и убедиться, что установка прошла корректно.

Ключ /quiet скрывает графический интерфейс установщика ПО. Иными словами установка ПО произойдет в скрытом режиме.

Далее указываются два обязательных параметра конфигурации в формате КЛЮЧ=ЗНАЧЕНИЕ. Таким образом мы сообщаем установщику IP-адрес устройства UserGate и регистрационный пароль.

После успешной установки и регистрации ПО, в административном интерфейсе UserGate появится запись о зарегистрированном агенте. Обратите внимание, агент находится в отключенном состоянии. Необходимо активировать подключение со стороны устройства:

image87

После установки, регистрации и активации клиента, может понадобиться некоторое время (для синхронизации данных), прежде чем в журналах отобразится информация о пользователях, работающих через терминального сервера.

image88

Для версий UserGate 6.1.5 и выше. В разделе Пользователи и устройства ➜ Терминальные серверы необходимо добавить агентов терминального сервера, указав имя и адрес хоста. После получения данных с указанного в настройках хоста и совпадении пароля авторизация пользователей будет включена автоматически.

При обновлении версии UserGate агенты терминальных серверов, которые ранее отображались в веб-консоли, будут продолжать работать.

Авторизация локальных пользователей терминального сервера

Агент терминального сервера может авторизовать не только доменных, но и локальных пользователей терминального сервера. Для этого необходимо внести изменения в файл конфигурации (%ALLUSERSPROFILE%\Entensys\Terminal Server Agent\tsagent.cfg):

LocalDomain = 1

Перезапустите сервис терминального агента.

В результате в журналах веб-доступа и трафика веб-консоли администратора будут отображаться локальные пользователи терминального сервера.

Таких пользователей также необходимо добавить как локальных, чтобы их можно было указывать в правилах. Для этого перейдите в раздел Пользователи и устройства ➜ Пользователи и добавьте нового пользователя. Во вкладке Общие в поле Логин необходимо указать запись вида: «имя компьютера_имя пользователя». Пароль указывать не нужно.

Примечание Имя компьютера должно состоять из букв, цифр и знака подчёркивания; использование тире не допускается.

Для авторизации клиентов терминального сервера через агент авторизации не требуется создания правил captive-портала. Если пользователь терминального сервера успешно авторизуется через captive-портал, то эта авторизация применится ко всем пользователям сервера.

Для исключения авторизации сервера, например по kerberos, необходимо создать правило captive-портала. Во вкладке Общие необходимо указать:

  • Captive-профиль: Не использовать аутентификацию.

Во вкладке Источник необходимо указать адреса терминальных серверов. Список IP-адресов терминальных серверов может быть создан в разделе Библиотеки ➜ IP-адреса или при настройке правила captive-портала.

image89

image90

Также можно использовать уже существующее правило captive-портала. Тогда после указания адресов терминальных серверов во вкладке Источник необходимо отметить чекбокс Инвертировать.

Эта статья была:   Полезна | Не полезна
Сообщить об ошибке
ID статьи: 20
Последнее обновление: 30 мар, 2023
Ревизия: 8
Просмотры: 5419
Комментарии: 0
Теги

Также опубликовано в