Настройка аутентификации в Active Directory через LDAP на прокси

В доменной среде Active Directory можно настроить аутентификацию пользователей по протоколу LDAP. В данном режиме, веб-прокси запрашивает логин / пароль пользователя по методу HTTP Basic и сверяет полученные данные с содержимым LDAP-каталога.

Настройки в доменной инфраструктуре

Подробное описание настроек в доменной инфраструктуре выходит за рамки данной инструкции. Упомянем лишь некоторые важные аспекты настроек.

Настройка центра сертификации Active Directory

Настройте центр сертификации Active Directory на использование алгоритма подписи SHA-256 или SHA-384. Использование стандартного алгоритма подписи SHA-512 вызовет проблемы при работе LDAPS.

Поменять используемый алгоритм подписи на машине с развернутым центром сертификации Active Directory можно командой:

certutil -setreg ca\csp\CNGHashAlgorithm SHA256

После выполнения команды, перезагрузите службу Active Directory Certificate Services.

Настройка LDAPS на контроллере домена

Для настройки LDAPS на контроллере домена должен быть установлен валидный сертификат, отвечающий ряду критериев:

  • Сертификат установлен в раздел Personal в локальном хранилище компьютера
  • Соответствующий сертификату секретный ключ также присутствут в локальном хранилище компьютера
  • Сертификат может предъявляться сервером для аутентификации, т.е. поле Enhanced Key Usage в сертификате содержит OID 1.3.6.1.5.5.7.3.1 (Server Authentication).
  • Полностью квалифицированное доменное имя доменного контроллера указано в сертификате в поле Subject или в поле Subject Alternative Name
  • Сертификат издан центром сертификации, которому доверяет как LDAP-клиент так и доменный контроллер. Для установления доверия, на LDAP-клиенте и на доменном контроллере должен быть установлен сертификат издательства, издавшего данный серверный сертификат. Если используется цепочка издательств, то должна быть установлена вся цепочка сертификатов издательства.
  • При генерации сертификата должен использоваться криптопровайдер Schannel cryptographic service provider (CSP)

Настройки на устройстве Traffic Inspector Next Generation

Импортирование сертификата центра сертификации Active Directory

Осуществите импорт сертификата в соответствии с инструкцией Использование сертификата центра сертификации Active Directory. Данный сертификат потребуется для работы LDAPS.

Настройка коннектора LDAP

Пройдите в раздел Система -> Доступ -> Серверы, в правом верхнем углу нажмите на кнопку Добавить сервер и задайте настройки, аналогичные приведенным ниже:

   
Описательное имя LDAP connector
Тип LDAP
Имя хоста или IP-адрес controller.dom.loc
Значение порта 636
Транспортный протокол SSL - зашифрованный
Центр сертификации пиров dom.loc CA
Версия протокола 3
Привязать параметры доступа User Principle Name для пользователя
Область поиска Уровень: единичный; База поиска: DC=dom, DC=loc
Контейнеры для аутентификации OU=Users,OU=UO - LAN,DC=dom,DC=loc
Атрибут присвоения имени пользователю samAccountName

Поле Имя хоста или IP-адрес

При настройке LDAPS, в поле Имя хоста или IP-адрес важно указывать именно DNS-имя LDAP-сервера (контроллера домена), и именно то DNS-имя, которое содержится в поле Subject или в поле Subject Alternative Name сертификата, предъявляемого LDAP-сервером. В нашем примере, LDAP-сервер / контроллер домена имеет DNS-имя controller.dom.loc.

Поле Транспортный протокол

При использовании LDAP, LDAP-клиент аутентифицируется на LDAP-сервере с использованием доменного логина / пароля. При использовании нешифрованного LDAP, все данные (в том числе логин и пароль) передаются в открытом виде и могут быть перехвачены. Предпочтительнее использовать LDAPS (LDAP over SSL/TLS).

Поле Центр сертификации пиров

В доменной среде Active Directory удобно использовать сертификаты, изданные центром сертификации Active Directory. Выберите ранее импортированный сертификат издательства в поле Центр сертификации пиров. В нашем примере, импортированный сертификат издательства называется dom.loc CA. Импортированный сертификат издательства используется для верификации серверного сертификата, предъявляемого LDAP-сервером.

Поле Привязать параметры доступа

В качестве параметра доступа лучше всего указать пользователя в виде принципала Kerberos (т.е. указать User Principal Name). Например, если домен Windows у нас dom.loc, а имя пользователя danny, то UPN выгдядит следующим образом:

danny@dom.loc

Поле Область поиска

Любой LDAP запрос предполагает указание ряда параметров, в соответствии с которыми осуществляется операция поиска в LDAP-каталоге. В нашем примере, домен называется dom.loc, поэтому базу поиска нужно указывать как DC=dom, DC=loc.

Поле Контейнеры для аутентификации

В нашем случае, пользователи находятся в нескольких организационных единицах (OU). Полностью путь до пользователей в LDAP-каталоге выглядит как OU=Users,OU=UO - LAN,DC=dom,DC=loc. В вашем случае, путь до пользователей будет выглядеть иначе.

Поле Атрибут присвоения имени пользователю

Поле должно содержать значение samAccountName для доменной среды Active Directory.

Включение LDAP аутентификации в веб-прокси

Проверьте, что в настройках веб-прокси используется метод авторизации LDAP. Для этого пройдите в Службы -> Веб-прокси -> Администрирование, вкладка Forward Proxy, пункт меню Authentication Settings.

В поле Метод аутентификации должен быть выбран ранее созданный LDAP-коннектор.

_images/proxy_auth_8.png