Интеграция Traffic Inspector Next Generation с Active Directory и legacy AD

245

С каждым годом увеличивается потребность компаний в работе с интернетом. Вместе с ней растут и требования к шлюзам, которые обеспечивают защиту интернет-соединения и управление работой сотрудников. Разнородные задачи требуют разделения пользователей по группам с разными правами, причём в большинстве случаев эти группы соответствуют организационной структуре предприятия.

 

В чём проблема с Active Directory

В большинстве российских организаций для управления правами пользователей используется служба Active Directory (AD) в составе ОС Windows Server. Это мощное и функциональное решение, которое позволяет в точности отразить структуру подразделений в каталоге AD.

Чаще всего при настройке доступа сотрудников компании в интернет требуется, чтобы права пользователей соответствовали задачам, которые выполняет их подразделение. Для этого структура групп доступа на интернет-шлюзе должна повторять организационную структуру.

В больших организациях дублировать штатное расписание на прокси-сервере, вручную указывая ФИО, отдел и должность сотрудника — задача из разряда трудновыполнимых. 

  1. Даже экспорт организационной структуры из AD с помощью сценариев лишь частично облегчает задачу, поскольку не все шлюзы поддерживают импорт пользователей или поддерживают его лишь частично в виде линейного списка.
  2. Вторая сложность с ручным или полуавтоматическим вводом сведений о пользователях AD на шлюзе состоит в том, что при появлении новых пользователей, увольнении или переводе сотрудников приходится вносить эти изменения.
  3. Третья сложность — учётные записи на шлюзе существуют отдельно от AD, поэтому для работы в интернете сотрудникам приходится вводить ещё один пароль.

 

Как интеграция с AD решает проблемы

Чтобы избавить администраторов Traffic Inspector Next Generation от ручной работы по дублированию пользователей и групп AD на шлюзе, разработчики Smart-Soft добавили в систему плагины для интеграции шлюза с Active Directory. Мы учли, что во многих компаниях всё ещё используются старые версии Windows Server, поэтому реализовали поддержка аутентификации в AD как через устаревший протокол NTLM v1, так и через NTLM v2 (Kerberos).

Интеграция с доменом AD избавляет от хлопот не только администраторов, но и пользователей: благодаря SSO-аутентификации вводить пароль при обращении в интернет уже не требуется, достаточно сделать это один раз при входе в систему на компьютере. После этого Traffic Inspector Next Generation выполнит аутентификацию пользователя автоматически.

 

Как настроить SSO-аутентификацию в домене AD 

Чтобы прокси-сервер Traffic Inspector Next Generation автоматически проверял права пользователя через домен AD, нужно установить плагин os-proxy-sso на вкладке «Плагины» в разделе Система → Прошивка → Обновления.

После установки плагина в разделе Службы → Веб-прокси появляется подраздел «Технология единого входа (SSO)».

В разделе Службы → Веб-прокси →Технология единого входа (SSO), на вкладке «Общие настройки» нужно установить флаг «Включить единый вход для прокси-сервера».

В поле «Реализация AD Kerberos» нужно выбрать значение «Windows 2008 with AES».

Затем нужно в разделе Службы → Веб-прокси → Технология единого входа (SSO) → Аутентификация по протоколу Kerberos нажать кнопку «Обновить».

Далее создайте учетную запись компьютера в Active Directory. Для этого:

  • В поле «Имя администратора AD», укажите имя учетной записи администратора домена.
  • В поле «Пароль администратора AD», укажите пароль для учетной записи администратора домена.
  • Нажмите на кнопку «Создать keytab-файл».

Более подробно настройка SSO-аутентификации на Traffic Inspector Next Generation и в домене AD рассматривается в руководстве пользователя Traffic Inspector Next Generation.

 

Не только AD

Кроме Active Directory, плагин os-proxy-sso поддерживает интеграцию с FreeIPA от Astra Linux, что особенно важно с учётом курса на импортозамещение и принятыми в связи с этим нормативными актами.

В декабре 2020 года Traffic Inspector Next Generation получил сертификат и официальный знак соответствия Ready for Astra Linux.  Комплекс тестовых испытаний, подтвердивших его штатную работу в среде ОС Astra Linux, включал в себя проверку регистрации шлюза безопасности на сервере, фильтрации исходящего трафика клиентских машин, управления ПО Traffic Inspector Next Generation с рабочих станций посредством браузера и удаленного доступа по протоколу SSH. Помимо этого, тестировались передача потокового видео и аудио, а также транслирование и фильтрация трафика по протоколам HTTP, HTTPS, FTP и IMAP через прокси-сервер шлюза безопасности.

Испытания подтвердили, что Traffic Inspector Next Generation полностью совместим с ОС Astra Linux. В единой доменной сети FreeIPA под управлением отечественных ОС продукт работает корректно, обеспечивая фильтрацию пакетов, а система управления идентификацией пользователей ОС функционирует штатно.

Настройка SSO аутентификации в интегрированной системе проверки подлинности FreeIPA подробно описана в документации к Traffic Inspector Next Generation.

  

Результат

Благодаря доработкам, сделанным компанией Smart-Soft, универсальный шлюз безопасности (UTM) Traffic Inspector Next Generation имеет возможность интеграции с доменом Active Directory. Администраторам уже не нужно синхронизировать сотрудников домена с прокси-сервером, а пользователям достаточно ввести пароль всего один раз при входе в систему на компьютере, остальное выполнится автоматически с помощью технологии SSO (Single Sign-On).

Плагин os-proxy-ntlm поддерживает не только актуальную версию протокола аутентификации NTLM v2 / Kerberos, но и устаревшую версию NTLM v1. Она используется в Windows Server 2003, которая, несмотря на окончание срока технической поддержки, всё ещё встречается в организациях.




Логотип Traffic Inspector Next Generation


Протестируйте бесплатно в течение 30 дней

Попробовать

 

 

Назад
Далее
Рекомендуем почитать Смотреть все

Информационная безопасность в образовательной организации

Теги: Traffic Inspector Next Generation, Информационная безопасность в образовании, Кибербезопасность

Пограничный контроль: как шлюзовый антивирус защищает вход в корпоративную сеть

Родительский контроль в интернете

Попробуйте бесплатно в течение 30 дней

Traffic Inspector Next Generation подойдет и вашему бизнесу вне зависимости от его размеров. Убедитесь!
Меню навигации
Бесплатный звонок по России 8 800 511-05-81
Сообщение отправлено
Спасибо за заявку! Мы свяжемся с вами в ближайшее время.
ОК
Бесплатное 30-дневное тестирование
TRAFFIC INSPECTOR NEXT GENERATION
Вы получите
полнофункциональный комплекс, сможете изучить удобный интерфейс и попробовать все средства защиты, такие как:
Файрвол
Антивирус
Фильтрация трафика
IDS/IPS
и многое другое.
Тестовое оборудование всегда есть на складе и мы предоставим его в кратчайшие сроки. Детали расскажет наш специалист — просто оставьте заявку!
Бесплатное 30-дневное тестирование
TRAFFIC INSPECTOR NEXT GENERATION
Сообщение отправлено
Благодарим за заказ! Менеджер свяжется с вами в ближайшее время.
ОК
Оформление заказа
TRAFFIC INSPECTOR NEXT GENERATION
Выберите устройство
S100
S200
S500
M1000
L1000+
Enterprise
FSTEC
SaaS
Software
Software Light
Укажите количество
Стоимость будет рассчитана специально для вас
Оформление заказа
TRAFFIC INSPECTOR NEXT GENERATION
Сообщение отправлено
Благодарим за заказ модуля! Менеджер свяжется с вами в ближайшее время.
ОК
Оформление заказа
TRAFFIC INSPECTOR NEXT GENERATION
Выберите модули
Traffic Inspector Next Generation Anti-Virus powered by Kaspersky
NetPolice для Traffic Inspector Next Generation
Оформление заказа
TRAFFIC INSPECTOR NEXT GENERATION
Сообщение отправлено
Спасибо за ваше обращение! Менеджер свяжется с вами в ближайшее время.
ОК
Заказ звонка
TRAFFIC INSPECTOR NEXT GENERATION
Заказ звонка
TRAFFIC INSPECTOR NEXT GENERATION
Сообщение отправлено
Спасибо за ваш вопрос! Менеджер свяжется с вами в ближайшее время.
ОК
Задайте вопрос
TRAFFIC INSPECTOR NEXT GENERATION
Задайте вопрос
TRAFFIC INSPECTOR NEXT GENERATION
Сообщение отправлено
Добро пожаловать в программу White Label! Мы свяжемся с вами в ближайшее время.
ОК
WHITE LABEL
партнерская программа
WHITE LABEL
партнерская программа