Аутентификация на веб-прокси

Traffic Inspector Next Generation поддерживает ряд методов аутентификации пользователей на веб-прокси:

  • Локальная база
  • Local + Timebased One Time Password
  • LDAP
  • Kerberos
  • Смешанная аутентификация

Метод Локальная база использует базу пользователей, хранящуюся на самом устройстве Traffic Inspector Next Generation.

Метод Local + Timebased One Time Password представляет собой двухфакторную авторизацию на веб-прокси.

Методы LDAP и Kerberos используются при наличии в сети развернутой службы каталогов (чаще всего Active Directory от Microsoft). При этом метод Kerberos обеспечивает прозрачную и автоматическую аутентификацию на веб-прокси, а в доменной среде и аутентификацию в стиле Single Sign On.

При Single Sign On аутентификации, пользователь вводит логин / пароль лишь однажды, при логоне в операционную систему; последующая аутентификация на веб-прокси происходит прозрачно и полностью автоматически.

Дополнительно, в Traffic Inspector реализован функционал смешанной аутентификации. Смысл смешанной аутентификации заключается в том, что в настройках Traffic Inspector Next Generation аккаунт пользователя привязывается к определенному IP-адресу или MAC-адресу. Пользователю нужно авторизоваться не только с правильным логином / паролем, но и с разрешенного IP/MAC-адреса.

Примечание

Ни один из методов аутентификации недоступен, если настраивается режим прозрачного HTTP-прокси и/или режим перехвата SSL.

Аутентификация по локальной базе

Метод Локальная база требует наполнения локальной базы пользователей. Поддерживаются учетные записи пользователей и группы пользователей.

Группа служит для логической группировки нескольких пользователей. Права пользователя наследуются от группы, поэтому группы – это способ упростить управления набором пользователей.

Создадим группу пользователей proxyusers и разрешим пользователям в этой группе работать с веб-прокси Traffic Inspector Next Generation.

Создание группы в локальной базе

Для создания группы пользователей пройдите в раздел Система -> Доступ –> Группы и нажмите на иконку +.

_images/proxy_auth_1.png

На открывшейся странице, укажите название группы и произвольный комментарий.

_images/proxy_auth_2.png

Нажмите кнопку Сохранить.


Назначение прав на локальную группу

Кликните на иконку Карандаш напротив ранее созданной группы.

_images/proxy_auth_3.png

Назначьте группе proxyusers права для работы с веб-прокси:

_images/proxy_auth_4.png

Нажмите Сохранить.


Создание пользователя в локальной базе

Для создания пользователей пройдите в раздел Система -> Доступ –> Пользователи и нажмите на иконку +.

_images/proxy_auth_5.png

На открывшейся странице, задайте имя пользователя, пароль и членство в ранее созданной группе proxyusers. Остальные настройки можно оставить как есть.

_images/proxy_auth_6.png

Включение аутентификации по локальной базе в веб-прокси

Пройдите в Службы -> Веб-прокси -> Администрирование, вкладка Forward Proxy, пункт меню Authentication Settings. В поле Метод аутентификации должен быть выбран метод Локальная база.

_images/proxy_auth_7.png

После осуществления данных настроек локальный пользователь user, имеющий членство в локальной группе proxyusers, может аутентифицироваться на веб-прокси и получить доступ к сети Интернет.

Аутентификация по LDAP

Настройка данного типа аутентификации описана в разделе Настройка аутентификации в Active Diretory через LDAP на прокси.

Аутентификация по Kerberos

Настройка данного типа аутентификации описана в разделе Настройка аутентификации в Active Diretory через Kerberos на прокси.

Смешанная аутентификация

Функионал привязки по IP/MAC-адресу позволяет реализовать смешанную аутентификацию, когда пользователь должен использовать логин / пароль с определенного IP-адреса, MAC-адреса, или сочетания IP-адреса и MAC-адреса.

Функионал привязки по IP/MAC-адресу является универсальным и работает с любым типом аутентификации, включенным в настройках веб-прокси.

Осуществим привязку пользователя user к IP-адресу 192.168.1.10 и MAC-адресу 68-05-CA-1C-A6-0A. После осуществления данных настроек пользователь user сможет аутентифицироваться на веб-прокси, только если будет проводить аутентификацию с IP-адреса 192.168.1.10 и MAC-адреса 68-05-CA-1C-A6-0A.

Установка плагина os-proxy-ipcheck

Для поддержки смешанной аутентификации нужно установить плагин os-proxy-ipcheck.

Пройдите в раздел Система -> Прошивка -> Обновления. На вкладке Плагины нажмите на кнопку + напротив плагина os-proxy-ipcheck для его установки.

После установки плагина os-proxy-ipcheck, в разделе Службы -> Веб-прокси появляется подраздел Привязка пользователя к IP/MAC.

Создание привязки к адресу

Пройдите в раздел Служба -> Сервисы -> Веб-прокси -> Привязка пользователя к IP/MAC**.

Для активации возможности привязки к IP-адресу, установите флаг Включить привязку пользователей к IP.

Для активации возможности привязки к IP-адресу, установите флаг Включить привязку пользователей к MAC.

_images/proxy_auth_9.png

Для создания привязки, нажмите на иконку +.

В открывшемся окне, укажите нужного пользователя, IP-адрес и MAC-адрес, к которым осуществляется привязка.

_images/proxy_auth_10.png

Нажмите Сохранить изменения.