Настройка аутентификации на прокси через LDAP в службе каталогов

Данный метод аутентификации поддерживается для служб каталогов: Mictosoft AD, Novell eDirectory, OpenLDAP.

В данной инструкции описывается настройка LDAP для Mictosoft AD.

Примечание

Для аутентификации Single Sign On (SSO) используйте NTLM или Kerberos.

Настройки в доменной инфраструктуре

Подробное описание настроек в доменной инфраструктуре выходит за рамки данной инструкции. Упомянем лишь некоторые важные аспекты настроек.

Настройка центра сертификации Active Directory

Настройте центр сертификации Active Directory на использование алгоритма подписи SHA-256 или SHA-384. Использование стандартного алгоритма подписи SHA-512 вызовет проблемы при работе LDAPS.

Поменять используемый алгоритм подписи на машине с развернутым центром сертификации Active Directory можно командой:

certutil -setreg ca\csp\CNGHashAlgorithm SHA256

После выполнения команды, перезагрузите службу Active Directory Certificate Services.

Настройка LDAPS на контроллере домена

Для настройки LDAPS на контроллере домена должен быть установлен валидный сертификат, отвечающий ряду критериев:

  • Сертификат установлен в раздел Personal в локальном хранилище компьютера

  • Соответствующий сертификату секретный ключ также присутствут в локальном хранилище компьютера

  • Сертификат может предъявляться сервером для аутентификации, т.е. поле Enhanced Key Usage в сертификате содержит OID 1.3.6.1.5.5.7.3.1 (Server Authentication).

  • Полностью квалифицированное доменное имя доменного контроллера указано в сертификате в поле Subject или в поле Subject Alternative Name

  • Сертификат издан центром сертификации, которому доверяет как LDAP-клиент так и доменный контроллер. Для установления доверия, на LDAP-клиенте и на доменном контроллере должен быть установлен сертификат издательства, издавшего данный серверный сертификат. Если используется цепочка издательств, то должна быть установлена вся цепочка сертификатов издательства.

  • При генерации сертификата должен использоваться криптопровайдер Schannel cryptographic service provider (CSP)

Настройки на устройстве Traffic Inspector Next Generation

Импортирование сертификата центра сертификации Active Directory

Осуществите импорт сертификата в соответствии с инструкцией Использование сертификата центра сертификации Active Directory. Данный сертификат потребуется для работы LDAPS.

Настройка коннектора LDAP

Пройдите в раздел Система -> Доступ -> Серверы, в правом верхнем углу нажмите на кнопку Добавить сервер и задайте настройки, аналогичные приведенным ниже:

Описательное имя

LDAP connector

Тип

LDAP

Имя хоста или IP-адрес

controller.dom.loc

Значение порта

636

Транспортный протокол

SSL - зашифрованный

Центр сертификации пиров

dom.loc CA

Версия протокола

3

Привязать параметры доступа

User Principle Name для пользователя

Область поиска

Уровень: единичный; База поиска: DC=dom, DC=loc

Контейнеры для аутентификации

OU=Users,OU=UO - LAN,DC=dom,DC=loc

Атрибут присвоения имени пользователю

samAccountName


Поле Имя хоста или IP-адрес

При настройке LDAPS, в поле Имя хоста или IP-адрес важно указывать именно DNS-имя LDAP-сервера (контроллера домена), и именно то DNS-имя, которое содержится в поле Subject или в поле Subject Alternative Name сертификата, предъявляемого LDAP-сервером. В нашем примере, LDAP-сервер / контроллер домена имеет DNS-имя controller.dom.loc.

Поле Транспортный протокол

При использовании LDAP, LDAP-клиент аутентифицируется на LDAP-сервере с использованием доменного логина / пароля. При использовании нешифрованного LDAP, все данные (в том числе логин и пароль) передаются в открытом виде и могут быть перехвачены. Предпочтительнее использовать LDAPS (LDAP over SSL/TLS).

Поле Центр сертификации пиров

В доменной среде Active Directory удобно использовать сертификаты, изданные центром сертификации Active Directory. Выберите ранее импортированный сертификат издательства в поле Центр сертификации пиров. В нашем примере, импортированный сертификат издательства называется dom.loc CA. Импортированный сертификат издательства используется для верификации серверного сертификата, предъявляемого LDAP-сервером.

Поле Привязать параметры доступа

В качестве параметра доступа лучше всего указать пользователя в виде принципала Kerberos (т.е. указать User Principal Name). Например, если домен Windows у нас dom.loc, а имя пользователя danny, то UPN выгдядит следующим образом:

danny@dom.loc

Поле Область поиска

Любой LDAP запрос предполагает указание ряда параметров, в соответствии с которыми осуществляется операция поиска в LDAP-каталоге. В нашем примере, домен называется dom.loc, поэтому базу поиска нужно указывать как DC=dom, DC=loc.

Поле Контейнеры для аутентификации

В нашем случае, пользователи находятся в нескольких организационных единицах (OU). Полностью путь до пользователей в LDAP-каталоге выглядит как OU=Users,OU=UO - LAN,DC=dom,DC=loc. В вашем случае, путь до пользователей будет выглядеть иначе.

Поле Атрибут присвоения имени пользователю

Поле должно содержать значение samAccountName для доменной среды Active Directory.

Включение LDAP аутентификации в веб-прокси

Проверьте, что в настройках веб-прокси используется метод авторизации LDAP. Для этого пройдите в Службы -> Веб-прокси -> Администрирование, вкладка Forward Proxy, пункт меню Authentication Settings.

В поле Метод аутентификации должен быть выбран ранее созданный LDAP-коннектор.

_images/proxy_auth_8.png