Настройка аутентификации на прокси через NTLM в службе каталогов Microsoft AD
В данной инструкции описывается настройка аутентификации пользователей на веб-прокси через протокол NTLM.
Данный метод аутентификации поддерживается для служб каталогов Microsoft AD.
NTLM обеспечивает SSO.
Примечание
SSO-аутентификация избавляет доменного пользователя от повторных запросов на прохождение аутентификации. Пользователь вводит доменный логин / пароль всего один раз - при логоне в операционную систему. При последующем обращении в Интернет через прокси Traffic Inspector Next Generation, аутентификация происходит прозрачно и автоматически.
В нашем примере используется следующая схема сети:
Контроллер домена имеет IP-адрес 192.168.137.2 и DNS-имя controller.dom.loc.
Устройство Traffic Inspector Next Generation имеет IP-адрес 192.168.137.8 и DNS-имя tinga.dom.loc.
Настройка устройства Traffic Inspector Next Generation
Настройка общих параметров
Пройдите в раздел Система -> Настройки -> Общие настройки.
В поле Имя хоста укажите PQDN DNS-имя устройства TING (в нашем примере, FQDN-имя - это tinga.dom.loc, а PQDN-имя - это tinga).
В поле Домен укажите полное DNS-имя домена (в нашем примере, домен называется dom.loc).
В поле DNS-серверы, укажите IP-адрес доменного DNS-сервера. В нашем примере, это IP-адрес 192.168.137.2.
В поле Настройки DNS-сервера, установите флаг напротив опции Не используйте перенаправляющий DNS-сервер или DNS-преобразователь в качестве DNS-сервера для межсетевого экрана
Настройка сетевого времени
Настройка времени на устройстве производится в рамках работы мастера первоначальной настройки, который доступен в разделе Система -> Мастер.
Также, настройки времени доступны в разделе Службы -> Сетевое время -> Общие настройки. В поле Серверы времени укажите ваш предпочитаемый сервер времени, например, time.bakulev.ru. В доменной среде, в качестве NTP-сервера, укажите DNS-имя или IP-адрес контроллера домена, в нашем примере, controller.dom.loc (192.168.137.2).
Примечание
Время на контроллере домена и устройстве TING должно быть синхронизированно.
Установка плагина os-proxy-ntlm
Пройдите в раздел Система -> Прошивка -> Обновления. На вкладке Плагины нажмите на кнопку + напротив плагина os-proxy-ntlm для его установки.
После установки плагина os-proxy-ntlm, в разделе Службы -> Веб-прокси появляется подраздел Аутентификация NTLM.
Настройка NTLM
В разделе Службы -> Веб-прокси -> Аутентификация NTLM, на вкладке Общие настройки, установите флаг Включить аутентификацию NTLM.
В разделе Службы -> Веб-прокси -> Аутентификация NTLM, на вкладке Присоединить домен,
В поле Имя администратора AD, укажите имя учетной записи администратора домена.
В поле Пароль администратора AD, укажите пароль для учетной записи администратора домена.
Нажмите на кнопку Присоединить домен.
Для проверки настройки, на контроллере домена AD, через оснастку Пользователи и компьютеры Active Directory, в контейнере Computers, проверьте существование аккаунта для Вашего устройства TING. В нашем случае, созданный аккаунт называется TINGA-NTLM.
Настройки веб-прокси
В разделе Службы -> Веб-прокси -> Администрирование, на вкладке Основные настройки прокси, установите флаг Включить прокси, если он еще не установлен.
Примечание
Использование механизмов прозрачного HTTP-проксирования или перехвата / дешифровки SSL не совместимо ни с одним методом аутентификации. Чтобы использовать аутенитификацию NTLM, данные механизмы должны быть выключены.
В разделе Службы -> Веб-прокси -> Администрирование, на вкладке Перенаправляющий прокси, в меню Основные настройки перенаправления снимите флаги Включить прозрачный HTTP-прокси и Включить режим SSL, если они установлены.
Пройдите в раздел Службы -> Веб-прокси -> Администрирование, на вкладку Перенаправляющий прокси, пункт меню Настройки аутентификации.
В поле Метод аутентификации выберите LDAP коннектор.
В поле Процесс аутентификации укажите значение 15.
Настройка компьютера пользователя
На компьютере пользователя задайте явные настройки на прокси, аналогично тому, как показано на скриншоте:
