Интеграция Traffic Inspector Next Generation с Active Directory и legacy AD

1145

С каждым годом увеличивается потребность компаний в работе с интернетом. Вместе с ней растут и требования к шлюзам, которые обеспечивают защиту интернет-соединения и управление работой сотрудников. Разнородные задачи требуют разделения пользователей по группам с разными правами, причём в большинстве случаев эти группы соответствуют организационной структуре предприятия.

 

В чём проблема с Active Directory

В большинстве российских организаций для управления правами пользователей используется служба Active Directory (AD) в составе ОС Windows Server. Это мощное и функциональное решение, которое позволяет в точности отразить структуру подразделений в каталоге AD.

Чаще всего при настройке доступа сотрудников компании в интернет требуется, чтобы права пользователей соответствовали задачам, которые выполняет их подразделение. Для этого структура групп доступа на интернет-шлюзе должна повторять организационную структуру.

В больших организациях дублировать штатное расписание на прокси-сервере, вручную указывая ФИО, отдел и должность сотрудника — задача из разряда трудновыполнимых. 

  1. Даже экспорт организационной структуры из AD с помощью сценариев лишь частично облегчает задачу, поскольку не все шлюзы поддерживают импорт пользователей или поддерживают его лишь частично в виде линейного списка.
  2. Вторая сложность с ручным или полуавтоматическим вводом сведений о пользователях AD на шлюзе состоит в том, что при появлении новых пользователей, увольнении или переводе сотрудников приходится вносить эти изменения.
  3. Третья сложность — учётные записи на шлюзе существуют отдельно от AD, поэтому для работы в интернете сотрудникам приходится вводить ещё один пароль.

 

Как интеграция с AD решает проблемы

Чтобы избавить администраторов Traffic Inspector Next Generation от ручной работы по дублированию пользователей и групп AD на шлюзе, разработчики Smart-Soft добавили в систему плагины для интеграции шлюза с Active Directory. Мы учли, что во многих компаниях всё ещё используются старые версии Windows Server, поэтому реализовали поддержка аутентификации в AD как через устаревший протокол NTLM v1, так и через NTLM v2 (Kerberos).

Интеграция с доменом AD избавляет от хлопот не только администраторов, но и пользователей: благодаря SSO-аутентификации вводить пароль при обращении в интернет уже не требуется, достаточно сделать это один раз при входе в систему на компьютере. После этого Traffic Inspector Next Generation выполнит аутентификацию пользователя автоматически.

 

Как настроить SSO-аутентификацию в домене AD 

Чтобы прокси-сервер Traffic Inspector Next Generation автоматически проверял права пользователя через домен AD, нужно установить плагин os-proxy-sso на вкладке «Плагины» в разделе Система → Прошивка → Обновления.

После установки плагина в разделе Службы → Веб-прокси появляется подраздел «Технология единого входа (SSO)».

В разделе Службы → Веб-прокси →Технология единого входа (SSO), на вкладке «Общие настройки» нужно установить флаг «Включить единый вход для прокси-сервера».

В поле «Реализация AD Kerberos» нужно выбрать значение «Windows 2008 with AES».

Затем нужно в разделе Службы → Веб-прокси → Технология единого входа (SSO) → Аутентификация по протоколу Kerberos нажать кнопку «Обновить».

Далее создайте учетную запись компьютера в Active Directory. Для этого:

  • В поле «Имя администратора AD», укажите имя учетной записи администратора домена.
  • В поле «Пароль администратора AD», укажите пароль для учетной записи администратора домена.
  • Нажмите на кнопку «Создать keytab-файл».

Более подробно настройка SSO-аутентификации на Traffic Inspector Next Generation и в домене AD рассматривается в руководстве пользователя Traffic Inspector Next Generation.

 

Не только AD

Кроме Active Directory, плагин os-proxy-sso поддерживает интеграцию с FreeIPA от Astra Linux, что особенно важно с учётом курса на импортозамещение и принятыми в связи с этим нормативными актами.

В декабре 2020 года Traffic Inspector Next Generation получил сертификат и официальный знак соответствия Ready for Astra Linux.  Комплекс тестовых испытаний, подтвердивших его штатную работу в среде ОС Astra Linux, включал в себя проверку регистрации шлюза безопасности на сервере, фильтрации исходящего трафика клиентских машин, управления ПО Traffic Inspector Next Generation с рабочих станций посредством браузера и удаленного доступа по протоколу SSH. Помимо этого, тестировались передача потокового видео и аудио, а также транслирование и фильтрация трафика по протоколам HTTP, HTTPS, FTP и IMAP через прокси-сервер шлюза безопасности.

Испытания подтвердили, что Traffic Inspector Next Generation полностью совместим с ОС Astra Linux. В единой доменной сети FreeIPA под управлением отечественных ОС продукт работает корректно, обеспечивая фильтрацию пакетов, а система управления идентификацией пользователей ОС функционирует штатно.

Настройка SSO аутентификации в интегрированной системе проверки подлинности FreeIPA подробно описана в документации к Traffic Inspector Next Generation.

  

Результат

Благодаря доработкам, сделанным компанией Smart-Soft, универсальный шлюз безопасности (UTM) Traffic Inspector Next Generation имеет возможность интеграции с доменом Active Directory. Администраторам уже не нужно синхронизировать сотрудников домена с прокси-сервером, а пользователям достаточно ввести пароль всего один раз при входе в систему на компьютере, остальное выполнится автоматически с помощью технологии SSO (Single Sign-On).

Плагин os-proxy-ntlm поддерживает не только актуальную версию протокола аутентификации NTLM v2 / Kerberos, но и устаревшую версию NTLM v1. Она используется в Windows Server 2003, которая, несмотря на окончание срока технической поддержки, всё ещё встречается в организациях.




Логотип Traffic Inspector Next Generation


Протестируйте бесплатно в течение 30 дней

Попробовать

 

 

Назад
Далее
Рекомендуем почитать Смотреть все

ЭКОбезопасность в действии

Теги: Смарт-Софт, Traffic Inspector Next Generation, ЭКОбезопасность, #пакетненадо, кейс компании

Что такое IDS/IPS-системы?

Теги: IDS/IPS

Борьба с утечками: платить штрафы или защищаться

Теги: Утечки ПДн, Traffic Inspector Next Generation

Попробуйте бесплатно в течение 30 дней

Traffic Inspector Next Generation подойдет и вашему бизнесу вне зависимости от его размеров. Убедитесь!
Меню навигации
Бесплатный звонок по России 8 800 511-05-81
Сообщение отправлено
Спасибо за заявку! Мы свяжемся с вами в ближайшее время.
ОК
БЕСПЛАТНОЕ ТЕСТИРОВАНИЕ
TRAFFIC INSPECTOR NEXT GENERATION
Вы получите
полнофункциональный комплекс, сможете изучить удобный интерфейс и попробовать все средства защиты, такие как:
Файрвол
Антивирус
Фильтрация трафика
IDS/IPS
и многое другое.
Тестовое оборудование всегда есть на складе и мы предоставим его в кратчайшие сроки. Детали расскажет наш специалист — просто оставьте заявку!
БЕСПЛАТНОЕ ТЕСТИРОВАНИЕ
TRAFFIC INSPECTOR NEXT GENERATION
Сообщение отправлено
Благодарим за заказ! Менеджер свяжется с вами в ближайшее время.
ОК
Оформление заказа
TRAFFIC INSPECTOR NEXT GENERATION
Выберите устройство
S100
S200
S500
M1000
L1000+
Enterprise
FSTEC
SaaS
Software
Software Light
Укажите количество
Стоимость будет рассчитана специально для вас
Оформление заказа
TRAFFIC INSPECTOR NEXT GENERATION
Сообщение отправлено
Благодарим за заказ модуля! Менеджер свяжется с вами в ближайшее время.
ОК
Оформление заказа
TRAFFIC INSPECTOR NEXT GENERATION
Выберите модули
Traffic Inspector Next Generation Anti-Virus powered by Kaspersky
NetPolice для Traffic Inspector Next Generation
SkyDNS для Traffic Inspector Next Generation
Multifactor для Traffic Inspector Next Generation
Оформление заказа
TRAFFIC INSPECTOR NEXT GENERATION
Сообщение отправлено
Спасибо за ваше обращение! Менеджер свяжется с вами в ближайшее время.
ОК
Заказ звонка
TRAFFIC INSPECTOR NEXT GENERATION
Заказ звонка
TRAFFIC INSPECTOR NEXT GENERATION
Сообщение отправлено
Спасибо за ваш вопрос! Менеджер свяжется с вами в ближайшее время.
ОК
Задайте вопрос
TRAFFIC INSPECTOR NEXT GENERATION
Задайте вопрос
TRAFFIC INSPECTOR NEXT GENERATION
Сообщение отправлено
Добро пожаловать в программу White Label! Мы свяжемся с вами в ближайшее время.
ОК
WHITE LABEL
партнерская программа
WHITE LABEL
партнерская программа