Аутентификация на веб-прокси

Traffic Inspector Next Generation поддерживает ряд методов аутентификации пользователей на веб-прокси:

  • Аутентификация по локальной базе пользователей
  • Аутентификация через LDAP в службе каталогов
  • Аутентификация через NTLM в службе каталогов Microsoft AD
  • Аутентификация через Kerberos в службе каталогов Microsoft AD
  • Аутентификация через RADIUS
  • Аутентификация по ваучерам / картам
  • Аутентификация по IP-адресам
  • Смешанная аутентификация (базовый метод аутентификации + привязка к IP/MAC-адресам)
  • Двухфакторная аутентификация по локальной базе пользователей

Метод Локальная база использует базу пользователей, хранящуюся на самом устройстве Traffic Inspector Next Generation.

Для LDAP поддерживаются службы каталогов:

  • Mictosoft AD
  • Novell eDirectory
  • OpenLDAP

Примечание

Для NTLM и Kerberos поддерживается только Mictosoft AD.

NTLM и Kerberos обеспечивают Single Sign On.

Примечание

SSO-аутентификация избавляет доменного пользователя от повторных запросов на прохождение аутентификации. Пользователь вводит доменный логин / пароль всего один раз - при логоне в операционную систему. При последующем обращении в Интернет через прокси Traffic Inspector Next Generation, аутентификация происходит прозрачно и автоматически.

Дополнительно, в Traffic Inspector реализован функционал смешанной аутентификации. Смысл смешанной аутентификации заключается в том, что в настройках Traffic Inspector Next Generation аккаунт пользователя привязывается к определенному IP-адресу или MAC-адресу. Пользователю нужно авторизоваться не только с правильным логином / паролем, но и с разрешенного IP/MAC-адреса.

Двухфакторная аутентификация - расширенная аутентификация, в рамках которой пользователь вводит не только свой постоянный пароль от локальной учетной записи, но и ограниченный по сроку действия одноразовый пароль (Time-based One-Time Password).

Двухфакторная аутентификация позволяет надежнее защитить доступ к ресурсу, чем традиционная аутентификация.

Примечание

Ни один из методов аутентификации недоступен, если настраивается режим прозрачного HTTP-прокси и/или режим перехвата SSL.

Аутентификация по локальной базе пользователей

Локальная база пользователей хранится на самом устройстве TING.

Метод Локальная база требует наполнения локальной базы пользователей. Поддерживаются учетные записи пользователей и группы пользователей.

Группа служит для логической группировки нескольких пользователей. Права пользователя наследуются от группы, поэтому группы – это способ упростить управления набором пользователей.

Создадим группу пользователей proxyusers и разрешим пользователям в этой группе работать с веб-прокси Traffic Inspector Next Generation.

Создание группы в локальной базе

Для создания группы пользователей пройдите в раздел Система -> Доступ –> Группы и нажмите на иконку +.

_images/proxy_auth_1.png

На открывшейся странице, укажите название группы и произвольный комментарий.

_images/proxy_auth_2.png

Нажмите кнопку Сохранить.


Назначение прав на локальную группу

Кликните на иконку Карандаш напротив ранее созданной группы.

_images/proxy_auth_3.png

Назначьте группе proxyusers права для работы с веб-прокси:

_images/proxy_auth_4.png

Нажмите Сохранить.


Создание пользователя в локальной базе

Для создания пользователей пройдите в раздел Система -> Доступ –> Пользователи и нажмите на иконку +.

_images/proxy_auth_5.png

На открывшейся странице, задайте имя пользователя, пароль и членство в ранее созданной группе proxyusers. Остальные настройки можно оставить как есть.

_images/proxy_auth_6.png

Включение аутентификации по локальной базе в веб-прокси

Пройдите в Службы -> Веб-прокси -> Администрирование, вкладка Forward Proxy, пункт меню Authentication Settings. В поле Метод аутентификации должен быть выбран метод Локальная база.

_images/proxy_auth_7.png

После осуществления данных настроек локальный пользователь user, имеющий членство в локальной группе proxyusers, может аутентифицироваться на веб-прокси и получить доступ к сети Интернет.

Смешанная аутентификация

Функионал привязки по IP/MAC-адресу позволяет реализовать смешанную аутентификацию, когда пользователь должен использовать логин / пароль с определенного IP-адреса, MAC-адреса, или сочетания IP-адреса и MAC-адреса.

Функионал привязки по IP/MAC-адресу является универсальным и работает с любым типом аутентификации, включенным в настройках веб-прокси.

Осуществим привязку пользователя user к IP-адресу 192.168.1.10 и MAC-адресу 68-05-CA-1C-A6-0A. После осуществления данных настроек пользователь user сможет аутентифицироваться на веб-прокси, только если будет проводить аутентификацию с IP-адреса 192.168.1.10 и MAC-адреса 68-05-CA-1C-A6-0A.

Установка плагина os-proxy-ipcheck

Для поддержки смешанной аутентификации нужно установить плагин os-proxy-ipcheck.

Пройдите в раздел Система -> Прошивка -> Обновления. На вкладке Плагины нажмите на кнопку + напротив плагина os-proxy-ipcheck для его установки.

После установки плагина os-proxy-ipcheck, в разделе Службы -> Веб-прокси появляется подраздел Привязка пользователя к IP/MAC.

Создание привязки к адресу

Пройдите в раздел Служба -> Сервисы -> Веб-прокси -> Привязка пользователя к IP/MAC**.

Для активации возможности привязки к IP-адресу, установите флаг Включить привязку пользователей к IP.

Для активации возможности привязки к IP-адресу, установите флаг Включить привязку пользователей к MAC.

_images/proxy_auth_9.png

Для создания привязки, нажмите на иконку +.

В открывшемся окне, укажите нужного пользователя, IP-адрес и MAC-адрес, к которым осуществляется привязка.

_images/proxy_auth_10.png

Нажмите Сохранить изменения.