Интеграция Traffic Inspector Next Generation с Active Directory и legacy AD

Smart-Soft Team

04.11.2021

2648

С каждым годом увеличивается потребность компаний в работе с интернетом. Вместе с ней растут и требования к шлюзам, которые обеспечивают защиту интернет-соединения и управление работой сотрудников. Разнородные задачи требуют разделения пользователей по группам с разными правами, причём в большинстве случаев эти группы соответствуют организационной структуре предприятия.

В чём проблема с Active Directory

В большинстве российских организаций для управления правами пользователей используется служба Active Directory (AD) в составе ОС Windows Server. Это мощное и функциональное решение, которое позволяет в точности отразить структуру подразделений в каталоге AD.

Чаще всего при настройке доступа сотрудников компании в интернет требуется, чтобы права пользователей соответствовали задачам, которые выполняет их подразделение. Для этого структура групп доступа на интернет-шлюзе должна повторять организационную структуру.

В больших организациях дублировать штатное расписание на прокси-сервере, вручную указывая ФИО, отдел и должность сотрудника — задача из разряда трудновыполнимых.

Даже экспорт организационной структуры из AD с помощью сценариев лишь частично облегчает задачу, поскольку не все шлюзы поддерживают импорт пользователей или поддерживают его лишь частично в виде линейного списка.
Вторая сложность с ручным или полуавтоматическим вводом сведений о пользователях AD на шлюзе состоит в том, что при появлении новых пользователей, увольнении или переводе сотрудников приходится вносить эти изменения.
Третья сложность — учётные записи на шлюзе существуют отдельно от AD, поэтому для работы в интернете сотрудникам приходится вводить ещё один пароль.

Как интеграция с AD решает проблемы

Чтобы избавить администраторов Traffic Inspector Next Generation от ручной работы по дублированию пользователей и групп AD на шлюзе, разработчики Smart-Soft добавили в систему плагины для интеграции шлюза с Active Directory. Мы учли, что во многих компаниях всё ещё используются старые версии Windows Server, поэтому реализовали поддержка аутентификации в AD как через устаревший протокол NTLM v1, так и через NTLM v2 (Kerberos).

Интеграция с доменом AD избавляет от хлопот не только администраторов, но и пользователей: благодаря SSO-аутентификации вводить пароль при обращении в интернет уже не требуется, достаточно сделать это один раз при входе в систему на компьютере. После этого Traffic Inspector Next Generation выполнит аутентификацию пользователя автоматически.

Как настроить SSO-аутентификацию в домене AD

Чтобы прокси-сервер Traffic Inspector Next Generation автоматически проверял права пользователя через домен AD, нужно установить плагин os-proxy-sso на вкладке «Плагины» в разделе Система → Прошивка → Обновления.

После установки плагина в разделе Службы → Веб-прокси появляется подраздел «Технология единого входа (SSO)».

В разделе Службы → Веб-прокси →Технология единого входа (SSO), на вкладке «Общие настройки» нужно установить флаг «Включить единый вход для прокси-сервера».

В поле «Реализация AD Kerberos» нужно выбрать значение «Windows 2008 with AES».

Затем нужно в разделе Службы → Веб-прокси → Технология единого входа (SSO) → Аутентификация по протоколу Kerberos нажать кнопку «Обновить».

Далее создайте учетную запись компьютера в Active Directory. Для этого:

В поле «Имя администратора AD», укажите имя учетной записи администратора домена.
В поле «Пароль администратора AD», укажите пароль для учетной записи администратора домена.
Нажмите на кнопку «Создать keytab-файл».

Более подробно настройка SSO-аутентификации на Traffic Inspector Next Generation и в домене AD рассматривается в руководстве пользователя Traffic Inspector Next Generation.

Не только AD

Кроме Active Directory, плагин os-proxy-sso поддерживает интеграцию с FreeIPA от Astra Linux, что особенно важно с учётом курса на импортозамещение и принятыми в связи с этим нормативными актами.

В декабре 2020 года Traffic Inspector Next Generation получил сертификат и официальный знак соответствия Ready for Astra Linux. Комплекс тестовых испытаний, подтвердивших его штатную работу в среде ОС Astra Linux, включал в себя проверку регистрации шлюза безопасности на сервере, фильтрации исходящего трафика клиентских машин, управления ПО Traffic Inspector Next Generation с рабочих станций посредством браузера и удаленного доступа по протоколу SSH. Помимо этого, тестировались передача потокового видео и аудио, а также транслирование и фильтрация трафика по протоколам HTTP, HTTPS, FTP и IMAP через прокси-сервер шлюза безопасности.

Испытания подтвердили, что Traffic Inspector Next Generation полностью совместим с ОС Astra Linux. В единой доменной сети FreeIPA под управлением отечественных ОС продукт работает корректно, обеспечивая фильтрацию пакетов, а система управления идентификацией пользователей ОС функционирует штатно.

Настройка SSO аутентификации в интегрированной системе проверки подлинности FreeIPA подробно описана в документации к Traffic Inspector Next Generation.

Результат

Благодаря доработкам, сделанным компанией Smart-Soft, универсальный шлюз безопасности (UTM) Traffic Inspector Next Generation имеет возможность интеграции с доменом Active Directory. Администраторам уже не нужно синхронизировать сотрудников домена с прокси-сервером, а пользователям достаточно ввести пароль всего один раз при входе в систему на компьютере, остальное выполнится автоматически с помощью технологии SSO (Single Sign-On).

Плагин os-proxy-ntlm поддерживает не только актуальную версию протокола аутентификации NTLM v2 / Kerberos, но и устаревшую версию NTLM v1. Она используется в Windows Server 2003, которая, несмотря на окончание срока технической поддержки, всё ещё встречается в организациях.