IMHO.WS - Показать сообщение отдельно - WinRoute

Ascetic · 20.11.2006, 05:36

Итак, добрался я до работы

Настройка интеграции Active Directory и Kerio Winroute Firewall для автоматической аутентификации пользователей через Intenet Explorer

Цель:
Настроить импорт пользователей из Active Directory, сделать прозрачным логин пользователя домена на KWF, а так же пользователей не являющихся членами домена.

Требования:

1. Корректно работающий домен под windows 2000 или windows 2003
2. Active Directory работает в mixed mode
3. Права администратора домена

Заходим во вкладку Users -> Active Directory и ставим галочки на Map User Accounts from the Active Directory Domain to Kerio Winroute Firewall и Enable NT domain authentication for this domain.

В поле Active directory domain name прописываем имя домена с суффиксом, предположим, что domain.local

В поле Domain Access прописываем имя пользователя, имеющего права на работу с Active Directory (в моем случае это администратор домена)

В поле NT domain name authentication for this domain прописываем имя домена без суффикса, т.е. просто domain

При желании можно указать конкретный контроллер домена (кнопка Advanced...)

Скриншот:
http://keep4u.ru/full/061120/0ae913cec8b357672c/jpg

Переходим во вкладку Authentication Options
Ставим все галки которые есть, т.е.:
Always require user to be authenticated when accessing web pages
Enable user authentication automatically performed by web browsers
Automatically logout users when they are inactive (у меня стоит 10 минут)
Enable Active Directory/Kerberos authentication
В полях Active Directory Domain Name и NT domain authentication прописываем имя домена без суффикса, т.е. domain
Во вкладке Configure Automatic Import... никаких галок нет.

Скриншот:
http://keep4u.ru/full/061120/5f01c864fa2ff3a1ef/jpg

Теперь во вкладке User Accounts появились импортированные пользователи с Active Directory, редактировать, менять группы и удалять их непосредственно из KWF нельзя. Можно просто отключить ненужные учетные записи (поставить Account Disabled) и скрыть их (галка Hide disabled user Accounts).
Те, компьютеры, которые не входят в домен domain прописываем в Local User Database (и там уже как кому удобно, у меня стоит аутентификация по IP, т.к. он жестко привязанам к ним по MAC-адресу)

Скриншот:
http://keep4u.ru/full/061120/1f43ecd5558142e729/jpg

Заходим во вкладку Logs -> Debug, ставим в Messages -> Miscellaneous галочку на User Authentication и смотрим как пользователи автоматически аутентифицируются

Скриншот:
http://keep4u.ru/full/061120/40d050b206dcf2c4aa/jpg

Вот что видно в логе, при запуске Internet Explorer пользователем tester в домене domain:

Код:

[20/Nov/2006 10:37:59] {auth} 192.168.1.121 Negotiate & NTLM initiate
[20/Nov/2006 10:37:59] {auth} 192.168.1.121 client wants to use NTLM
[20/Nov/2006 10:37:59] {auth} NTLM authentication started
[20/Nov/2006 10:37:59] {auth} 192.168.1.121 NTLM challenge
[20/Nov/2006 10:37:59] {auth} NTLM successfully authenticated user tester
[20/Nov/2006 10:37:59] {auth} User tester@domain.local authenticated from 192.168.1.121 using NTLM

Для пользователя tester это совершенно прозрачно, никаких паролей для доступа к страницам он не вводит.

Вроде бы все. Отвечу на любые вопросы по этому тексту.

20.11.2006, 05:36	# 1406
Ascetic Отшельник Регистрация: 14.01.2005 Адрес: 1637м. Байкал Пол: Male Сообщения: 630	Итак, добрался я до работы Настройка интеграции Active Directory и Kerio Winroute Firewall для автоматической аутентификации пользователей через Intenet Explorer Цель: Настроить импорт пользователей из Active Directory, сделать прозрачным логин пользователя домена на KWF, а так же пользователей не являющихся членами домена. Требования: 1. Корректно работающий домен под windows 2000 или windows 2003 2. Active Directory работает в mixed mode 3. Права администратора домена Заходим во вкладку Users -> Active Directory и ставим галочки на Map User Accounts from the Active Directory Domain to Kerio Winroute Firewall и Enable NT domain authentication for this domain. В поле Active directory domain name прописываем имя домена с суффиксом, предположим, что domain.local В поле Domain Access прописываем имя пользователя, имеющего права на работу с Active Directory (в моем случае это администратор домена) В поле NT domain name authentication for this domain прописываем имя домена без суффикса, т.е. просто domain При желании можно указать конкретный контроллер домена (кнопка Advanced...) Скриншот: http://keep4u.ru/full/061120/0ae913cec8b357672c/jpg Переходим во вкладку Authentication Options Ставим все галки которые есть, т.е.: Always require user to be authenticated when accessing web pages Enable user authentication automatically performed by web browsers Automatically logout users when they are inactive (у меня стоит 10 минут) Enable Active Directory/Kerberos authentication В полях Active Directory Domain Name и NT domain authentication прописываем имя домена без суффикса, т.е. domain Во вкладке Configure Automatic Import... никаких галок нет. Скриншот: http://keep4u.ru/full/061120/5f01c864fa2ff3a1ef/jpg Теперь во вкладке User Accounts появились импортированные пользователи с Active Directory, редактировать, менять группы и удалять их непосредственно из KWF нельзя. Можно просто отключить ненужные учетные записи (поставить Account Disabled) и скрыть их (галка Hide disabled user Accounts). Те, компьютеры, которые не входят в домен domain прописываем в Local User Database (и там уже как кому удобно, у меня стоит аутентификация по IP, т.к. он жестко привязанам к ним по MAC-адресу) Скриншот: http://keep4u.ru/full/061120/1f43ecd5558142e729/jpg Заходим во вкладку Logs -> Debug, ставим в Messages -> Miscellaneous галочку на User Authentication и смотрим как пользователи автоматически аутентифицируются Скриншот: http://keep4u.ru/full/061120/40d050b206dcf2c4aa/jpg Вот что видно в логе, при запуске Internet Explorer пользователем tester в домене domain: Код: [20/Nov/2006 10:37:59] {auth} 192.168.1.121 Negotiate & NTLM initiate [20/Nov/2006 10:37:59] {auth} 192.168.1.121 client wants to use NTLM [20/Nov/2006 10:37:59] {auth} NTLM authentication started [20/Nov/2006 10:37:59] {auth} 192.168.1.121 NTLM challenge [20/Nov/2006 10:37:59] {auth} NTLM successfully authenticated user tester [20/Nov/2006 10:37:59] {auth} User tester@domain.local authenticated from 192.168.1.121 using NTLM Для пользователя tester это совершенно прозрачно, никаких паролей для доступа к страницам он не вводит. Вроде бы все. Отвечу на любые вопросы по этому тексту.