Интеграция Traffic Inspector Next Generation с Active Directory и legacy AD
С каждым годом увеличивается потребность компаний в работе с интернетом. Вместе с ней растут и требования к шлюзам, которые обеспечивают защиту интернет-соединения и управление работой сотрудников. Разнородные задачи требуют разделения пользователей по группам с разными правами, причём в большинстве случаев эти группы соответствуют организационной структуре предприятия.
В чём проблема с Active Directory
В большинстве российских организаций для управления правами пользователей используется служба Active Directory (AD) в составе ОС Windows Server. Это мощное и функциональное решение, которое позволяет в точности отразить структуру подразделений в каталоге AD.
Чаще всего при настройке доступа сотрудников компании в интернет требуется, чтобы права пользователей соответствовали задачам, которые выполняет их подразделение. Для этого структура групп доступа на интернет-шлюзе должна повторять организационную структуру.
В больших организациях дублировать штатное расписание на прокси-сервере, вручную указывая ФИО, отдел и должность сотрудника — задача из разряда трудновыполнимых.
- Даже экспорт организационной структуры из AD с помощью сценариев лишь частично облегчает задачу, поскольку не все шлюзы поддерживают импорт пользователей или поддерживают его лишь частично в виде линейного списка.
- Вторая сложность с ручным или полуавтоматическим вводом сведений о пользователях AD на шлюзе состоит в том, что при появлении новых пользователей, увольнении или переводе сотрудников приходится вносить эти изменения.
- Третья сложность — учётные записи на шлюзе существуют отдельно от AD, поэтому для работы в интернете сотрудникам приходится вводить ещё один пароль.
Как интеграция с AD решает проблемы
Чтобы избавить администраторов Traffic Inspector Next Generation от ручной работы по дублированию пользователей и групп AD на шлюзе, разработчики Smart-Soft добавили в систему плагины для интеграции шлюза с Active Directory. Мы учли, что во многих компаниях всё ещё используются старые версии Windows Server, поэтому реализовали поддержка аутентификации в AD как через устаревший протокол NTLM v1, так и через NTLM v2 (Kerberos).
Интеграция с доменом AD избавляет от хлопот не только администраторов, но и пользователей: благодаря SSO-аутентификации вводить пароль при обращении в интернет уже не требуется, достаточно сделать это один раз при входе в систему на компьютере. После этого Traffic Inspector Next Generation выполнит аутентификацию пользователя автоматически.
Как настроить SSO-аутентификацию в домене AD
Чтобы прокси-сервер Traffic Inspector Next Generation автоматически проверял права пользователя через домен AD, нужно установить плагин os-proxy-sso на вкладке «Плагины» в разделе Система → Прошивка → Обновления.
После установки плагина в разделе Службы → Веб-прокси появляется подраздел «Технология единого входа (SSO)».
В разделе Службы → Веб-прокси →Технология единого входа (SSO), на вкладке «Общие настройки» нужно установить флаг «Включить единый вход для прокси-сервера».
В поле «Реализация AD Kerberos» нужно выбрать значение «Windows 2008 with AES».
Затем нужно в разделе Службы → Веб-прокси → Технология единого входа (SSO) → Аутентификация по протоколу Kerberos нажать кнопку «Обновить».
Далее создайте учетную запись компьютера в Active Directory. Для этого:
- В поле «Имя администратора AD», укажите имя учетной записи администратора домена.
- В поле «Пароль администратора AD», укажите пароль для учетной записи администратора домена.
- Нажмите на кнопку «Создать keytab-файл».
Более подробно настройка SSO-аутентификации на Traffic Inspector Next Generation и в домене AD рассматривается в руководстве пользователя Traffic Inspector Next Generation.
Не только AD
Кроме Active Directory, плагин os-proxy-sso поддерживает интеграцию с FreeIPA от Astra Linux, что особенно важно с учётом курса на импортозамещение и принятыми в связи с этим нормативными актами.
В декабре 2020 года Traffic Inspector Next Generation получил сертификат и официальный знак соответствия Ready for Astra Linux. Комплекс тестовых испытаний, подтвердивших его штатную работу в среде ОС Astra Linux, включал в себя проверку регистрации шлюза безопасности на сервере, фильтрации исходящего трафика клиентских машин, управления ПО Traffic Inspector Next Generation с рабочих станций посредством браузера и удаленного доступа по протоколу SSH. Помимо этого, тестировались передача потокового видео и аудио, а также транслирование и фильтрация трафика по протоколам HTTP, HTTPS, FTP и IMAP через прокси-сервер шлюза безопасности.
Испытания подтвердили, что Traffic Inspector Next Generation полностью совместим с ОС Astra Linux. В единой доменной сети FreeIPA под управлением отечественных ОС продукт работает корректно, обеспечивая фильтрацию пакетов, а система управления идентификацией пользователей ОС функционирует штатно.
Настройка SSO аутентификации в интегрированной системе проверки подлинности FreeIPA подробно описана в документации к Traffic Inspector Next Generation.
Результат
Благодаря доработкам, сделанным компанией Smart-Soft, универсальный шлюз безопасности (UTM) Traffic Inspector Next Generation имеет возможность интеграции с доменом Active Directory. Администраторам уже не нужно синхронизировать сотрудников домена с прокси-сервером, а пользователям достаточно ввести пароль всего один раз при входе в систему на компьютере, остальное выполнится автоматически с помощью технологии SSO (Single Sign-On).
Плагин os-proxy-ntlm поддерживает не только актуальную версию протокола аутентификации NTLM v2 / Kerberos, но и устаревшую версию NTLM v1. Она используется в Windows Server 2003, которая, несмотря на окончание срока технической поддержки, всё ещё встречается в организациях.
Протестируйте бесплатно в течение 30 дней