Otentifikasi pengguna AD/Samba DC

Sinkronisasi dengan pengontrol domain ditangguhkan jika pengguna Ideco NGFW lokal berada dalam grup AD. Untuk melanjutkan sinkronisasi, hapus pengguna lokal dari grup AD. Sinkronisasi otomatis akan terjadi setelah 15 menit.

Menyiapkan otorisasi pengguna

Semua jenis otorisasi tersedia untuk pengguna yang diimpor dari Direktori Aktif.

Otorisasi melalui log keamanan Direktori Aktif disarankan untuk digunakan bersama dengan otorisasi SSO.

Untuk pengguna yang diimpor dari Samba, semua jenis otorisasi tersedia, kecuali autentikasi melalui log keamanan.

Jika Anda menonaktifkan pengguna pada pengontrol domain yang telah diimpor, maka setelah mengaktifkannya, ID baru akan diberikan dan aturan pemfilteran yang dikonfigurasi sebelumnya tidak akan berfungsi lagi.

Jika domain yang dimasukkan NGFW memiliki kepercayaan yang dikonfigurasi dengan domain lain, maka pengguna domain tepercaya akan dapat masuk ke NGFW jika ketentuan berikut terpenuhi:

  • Autentikasi SSO digunakan untuk mengautentikasi pengguna domain;

  • Pengguna domain tepercaya harus berada dalam grup AD lokal di pengontrol domain, dan grup ini harus diimpor ke NGFW.

Setelah otorisasi, pengguna domain tepercaya akan ditambahkan ke grup AD Pengguna dari domain tepercaya di pohon pengguna NGFW.

Menyiapkan NGFW

Setelah mengisi kolom Nama Domain Ideco NGFW dan menyimpan pengaturan, sertifikat Let's Encrypt akan diterbitkan, pengguna akan diarahkan ke jendela otorisasi, melewati halaman pengecualian keamanan.

Jika sertifikat untuk domain tersebut telah diunduh di bagian Sertifikat, maka sertifikat yang diunduh akan digunakan dan sertifikat baru tidak akan diterbitkan.

Menyiapkan server Direktori Aktif Microsoft

Otorisasi melalui Log Keamanan Direktori Aktif:

Dengan otentikasi Log Keamanan Pengontrol Domain AD, pengguna akan diautentikasi ketika mereka mencoba mengakses Internet. Otentikasi otomatis tidak terjadi tanpa lalu lintas melewati NGFW, karena kebijakan otentikasi kompetitif digunakan.

Untuk mengaktifkan otorisasi log keamanan, konfigurasikan hal berikut pada pengontrol domain utama:

1. Di pengaturan Windows Firewall di semua pengontrol domain (atau domain), aktifkan Manajemen Log Peristiwa Jarak Jauh:

2. Tambahkan Ideco NGFW ke grup keamanan Pembaca Log Peristiwa:

3. Mulai ulang layanan Otorisasi melalui Log Keamanan Direktori Aktif di Ideco NGFW. Nonaktifkan pengaturan ini dan aktifkan kembali;

Saat mengubah kebijakan keamanan default untuk pengontrol domain, ikuti langkah-langkah berikut:

Versi bahasa Inggris

1. Buka Manajemen kebijakan grup.

2. Pilih Hutan: test.org -> Domain -> test.org.

3. Klik kanan pada Kebijakan Domain Default dan pilih Edit.

4. Di jendela yang terbuka, buka Konfigurasi komputer -> Kebijakan -> Pengaturan Windows -> Pengaturan Keamanan -> Konfigurasi Kebijakan Audit Lanjutan -> Kebijakan Audit -> Logon/Logoff.

5. Klik dua kali pada Audit Masuk.

6. Di jendela yang terbuka, pada tab Kebijakan, aktifkan Konfigurasi peristiwa audit berikut dan pilih Sukses.

7. Klik Terapkan dan Oke.

8. Di folder Kebijakan Audit, buka Log Masuk Akun.

9. Klik dua kali pada Audit Layanan Otentikasi Kerberos dan ulangi langkah dari langkah 6.

10. Ulangi langkah 8 dan 9 untuk Audit Operasi Tiket Layanan Kerberos.

Versi Rusia

1. Buka Manajemen Kebijakan Grup.

2. Pilih Hutan: test.org -> Domain -> test.org.

3. Klik kanan pada Kebijakan Domain Default dan pilih Edit.

4. Di jendela yang terbuka, buka Konfigurasi Komputer -> Kebijakan -> Konfigurasi Windows -> Pengaturan Keamanan -> Konfigurasi Kebijakan Audit Lanjutan -> Kebijakan Audit -> Login/Logout.

5. Klik dua kali pada Audit Masuk.

6. Di jendela yang terbuka, pada tab Kebijakan, aktifkan Konfigurasi peristiwa audit berikut dan pilih Sukses.

7. Klik Terapkan dan Oke.

8. Di folder Kebijakan Audit, buka Login Akun.

9. Klik dua kali Audit Layanan Otentikasi Kerberos dan ulangi langkah dari langkah 6.

10. Ulangi langkah 8 dan 9 untuk Mengaudit Operasi Tiket Layanan Kerberos.

Untuk memperbarui kebijakan pengontrol domain, jalankan gpupdate /force; Jika otorisasi pengguna tidak terjadi saat login, Anda perlu memeriksa log keamanan untuk kejadian 4768, 4769, 4624.

Mengonfigurasi mesin klien untuk otentikasi web (SSO atau NTLM)

Untuk mengaktifkan otentikasi melalui browser web (menggunakan Kerberos atau NTLM), konfigurasikan Internet Explorer (browser lain akan mengambil pengaturannya).

Pastikan untuk menggunakan pengaturan autentikasi web, karena dalam beberapa kasus, pengguna perlu diautentikasi melalui browser (bahkan saat masuk melalui log keamanan).

Penyebab:

  • Log NTLM biasanya hanya berisi nama pengguna, alamat IP, dan waktu login dan tidak berisi semua informasi yang diperlukan untuk otorisasi penuh: grup keamanan, hak akses, dan atribut pengguna lainnya.

  • Masalah apa pun dengan log, seperti kerusakan, kehilangan data, atau keterlambatan perekaman, dapat menyebabkan masalah otorisasi.

  • Otorisasi hanya berdasarkan log mungkin kurang aman, karena log dapat dipalsukan atau dimodifikasi oleh penyerang.

  • Log mungkin direkam dengan penundaan dan sulit untuk memastikan bahwa semua data terkini dan konsisten pada waktu tertentu.

  • Otorisasi berbasis log mungkin memerlukan logika kompleks untuk memproses dan menganalisis log, yang dapat meningkatkan kemungkinan kesalahan dan mempersulit dukungan. *Menggunakan log saja mungkin tidak memberikan integrasi penuh dengan Direktori Aktif dan mungkin mengakibatkan terbatasnya kemampuan untuk mengelola dan mengonfigurasi hak akses.

Untuk mengatur otentikasi melalui browser web, ikuti langkah-langkah berikut:

1. Buka properti browser Anda dan buka tab Keamanan.

2. Pilih Intranet Lokal -> Situs -> Lanjutan.

3. Di jendela yang terbuka, tambahkan tautan ke Ideco NGFW dengan nama yang Anda masukkan ke dalam domain. Anda perlu menentukan dua URL: dari http:// dan dari https://.

Contoh pengenalan Ideco NGFW ke domain example.ru dengan nama idecoics.

Untuk menerapkan pengaturan ke semua pengguna di mesin klien, ikuti langkah-langkah berikut:

1. Ikuti jalannya:

Versi bahasa Inggris

Edit kebijakan grup -> Konfigurasi Komputer -> Templat Administratif -> Komponen Windows -> Internet Explorer -> Panel Kontrol Internet -> Halaman Keamanan -> Daftar Penugasan Situs ke Zona

Versi Rusia

Ubah Kebijakan Grup Lokal -> Kebijakan Komputer Lokal -> Templat Administratif -> Komponen Windows -> Internet Explorer -> Panel Kontrol Browser -> Tab Keamanan -> Daftar Penugasan Zona untuk Situs Web

2. Masukkan penetapan zona untuk nama DNS Ideco NGFW (dalam contoh idecoics.example.ru) dengan nilai 1 (intranet). Tentukan dua tujuan skema kerja http dan https:

Saat masuk ke situs HTTPS, Anda harus mengizinkan browser mempercayai sertifikat Ideco NGFW. Untuk menghindari keharusan melakukan hal ini setiap saat, Anda dapat menambahkan sertifikat akar Ideco NGFW ke sertifikat akar tepercaya perangkat.

Pada halaman pengaturan browser Mozilla Firefox (about:config di bilah alamat), konfigurasikan pengaturan berikut:

  • network.automatic-ntlm-auth.trusted-uris dan network.negotiate-auth.trusted-uris menambahkan alamat antarmuka lokal Ideco NGFW (misalnya idecoUTM.example.ru);

  • security.enterprise_roots.enabled yang disetel ke true akan memungkinkan Firefox memercayai sertifikat sistem dan memberi otorisasi kepada pengguna saat bernavigasi ke situs HTTPS.

Metode untuk mengautentikasi pengguna yang diimpor:

  • Via Agen Ideco - cocok untuk mengautentikasi pengguna server terminal (menggunakan Virtualisasi IP Desktop Jarak Jauh di server terminal);

  • Otorisasi berdasarkan alamat IP - cocok untuk pengguna dengan alamat IP tetap. Alamat IP pada NGFW harus ditetapkan secara manual ke setiap pengguna;

  • Otorisasi melalui VPN - cocok untuk mengautentikasi pengguna jaringan jarak jauh.

Mengonfigurasi otentikasi pengguna untuk koneksi langsung ke server proxy

Menyiapkan autentikasi pengguna transparan untuk koneksi langsung ke server proxy serupa dengan menyiapkan autentikasi SSO transparan. Satu-satunya kekhasan adalah nama DNS Ideco NGFW diindikasikan sebagai alamat server proxy.

Saat menghubungkan langsung ke proxy, jangan tentukan alamat IP Ideco NGFW sebagai gateway.

Mengonfigurasi browser Mozilla Firefox untuk autentikasi NTLM saat menghubungkan langsung ke server proxy

Untuk mengautentikasi komputer yang tidak berada dalam domain, dengan akun pengguna domain, pada halaman pengaturan browser Mozilla Firefox (about:config di bilah alamat), tentukan parameter berikut:

  • network.automatic-ntlm-auth.allow-proxies = salah;

  • jaringan.negosiasi-auth.allow-proxies = salah.

Jangan nonaktifkan opsi ini untuk komputer yang merupakan bagian dari domain, karena ini akan menggunakan metode otentikasi NTLM yang lama.

Kemungkinan masalah

Jika jendela muncul di Internet Explorer dengan teks Otentikasi diperlukan untuk mendapatkan akses dan otentikasi hanya terjadi ketika Anda mengeklik tautan secara manual, atur opsi Skrip Aktif di Internet Explorer ke Aktifkan.

Pengguna domain harus diizinkan untuk mengautentikasi ke Ideco NGFW. Pada pengontrol domain, buka properti pengguna yang dipilih di tab Akun -> Masuk ke..., pilih hanya di komputer tertentu dan masukkan nama stasiun kerja untuk masuk ke.

Contoh pengaturan tersebut ditunjukkan pada gambar di bawah:

PreviousMemasukkan server ke dalam domainNextSkrip otorisasi otomatis

Last updated