2. Autentizace uživatelů

Kernun Clear Web podporuje autentizaci uživatelů v prostředí Microsoft Active Directory a Samba. Dokáže zjistit jméno uživatele přihlášeného do domény a jemu příslušející skupiny. Tyto informace využívá k nalezení správného profilu nebo výjimky pro řízení přístupu uživatele k webu podle nastavené politiky 4 – „Politika. Uživatelé a skupiny se následně objevují v monitoru spojení, v záznamech, ve statistikách a lze jich využít i v testu politiky.

Autentizace uživatelů je podporována pro veškerý HTTP a FTP provoz, a pro HTTPS v netransparentním režimu.

Doporučený způsob autentizace je pomocí mechanismu Kerberos, zejména z důvodu efektivnější síťové komunikace a podpoře autentizace uživatelů na terminálových serverech. Protokol NTLM je podporován jako záložní možnost pro případy, kdy klientské aplikace nepodporují Kerberos nebo při použití serveru Samba verze 3 a vyšší v doméně Windows NT.

Ke konfiguraci autentizace slouží podsekce Proxy autentizace v aktivitě Správa. Po nastavení parametrů autentizace a aktivaci konfigurace je nutné provést inicializaci autentizačního mechanismu pomocí tlačítka Inicializovat připojení k doméně. Funkčnost autentizace lze ověřit pomocí tlačítka Otestovat autentizaci v doméně. Obě tlačítka se zobrazí po zapnutí autentizace a aktivaci konfigurace.

Poznámka

Prohlížeč Google Chrome nepodporuje autentizaci uživatelů ve FTP provozu, viz https://bugs.chromium.org/p/chromium/issues/detail?id=310456.

Pro úspěšnou inicializaci autentizace je nutné splnit následující předpoklady:

2.1. Autentizace metodou Kerberos

Před zahájením konfigurace se ujistěte, že prostředí vaší sítě splňuje všechny předpoklady uvedené v 2 – „Autentizace uživatelů“.

Pro Kerberos autentizaci je nutné nakonfigurovat pouze dva parametry:

  • jméno domény Active Directory ve tvaru např. example.com

  • jméno řadiče domény ve tvaru např. ad.example.com

Lze zadat několik redundantních řadičů domén pro zajištění autentizace i v případě výpadku některého z nich.

Poznámka

Při konfiguraci proxy ve webovém prohlížeči se ujistěte, že zadáváte přesně stejné jméno zařízení Kernun Clear Web, které bylo použito při vytváření souboru keytab. Pro správnou funkčnost autentizace totiž nestačí, nastavíte-li IP adresu, zkrácené jméno (bez domény), nebo alternativní jméno, i když se převede na stejnou IP adresu.

V rámci inicializace Kerberos autentizace je potřeba vytvořit soubor keytab, který obsahuje kryptografické klíče sdílené systémem Kernun Clear Web a řadičem domény. Volba jedné ze dvou podporovaných metod vytvoření souboru keytab se provádí při zahájení inicializace připojení k Active Directory.

Nahrát keytab soubor

Vytvořte v doméně nový uživatelský účet. Nastavte účet tak, aby mu nikdy nevypršela platnost hesla. Účet musí mít dostatečná práva na čtení informací o uživatelích a skupinách uživatelů v Active Directory (standardně stačí příslušnost do skupiny Domain Users). Poté vytvořte soubor keytab ručně na doménovém radiči jako administrátor zadáním příkazu (příkazový řádek musí být spuštěn jako správce):

C:\> ktpass /out KEYTAB /princ HTTP/proxy@AD_DOMAIN
/mapuser USER@AD_DOMAIN /pass * /crypto All
/ptype KRB5_NT_PRINCIPAL

kde KEYTAB je libovolně zvolené jméno souboru keytab, proxy je hostitelské jméno zařízení Kernun Clear Web (včetně jména domény, tzn. FQDN), které se bude nastavovat do konfigurace proxy ve webovém prohlížeči, AD_DOMAIN je jméno domény Active Directory a USER je jméno vytvořeného uživatele. V hostitelském jméně proxy je nutné používat malá písmena, ve jménu domény Active Directory AD_DOMAIN je nutné používat velká písmena. Ve jménu souboru keytab a ve jménu uživatele na velikosti písmen nezáleží. Vytvořený soubor keytab nahrajte na Kernun Clear Web prostřednictvím dialogu pro inicializaci autentizace.

Přidat do domény

Tento způsob inicializace autentizace z technických důvodů nefunguje v režimu cluster. Po případném nakonfigurování clusteru bude nutné reinicializovat autentizaci nahráním keytabu. S pomocí jména a hesla uživatele ze skupiny Domain Admins se systém Kernun Clear Web automaticky přidá do domény a vygeneruje potřebný keytab soubor na hostitelské jméno zařízení Kernun Clear Web. Zkontrolujte, zda vytvořený účet v doméně má dostatečná práva na čtení informací o uživatelích a jejich skupinách v Active Directory.

2.2. Autentizace metodou NTLM a NTLM (Samba 3)

Před zahájením konfigurace se ujistěte, že prostředí vaší sítě splňuje všechny předpoklady uvedené v 2 – „Autentizace uživatelů“.

Pro autentizaci metodou NTLM a NTLM (Samba 3) je nutné nakonfigurovat tyto parametry:

  • jméno domény Active Directory nebo Windows NT

  • jméno pracovní skupiny, standardně je to první komponenta jména domény (před první tečkou)

  • jméno řadiče domény ve tvaru ad.example.com

  • adresa sítě (IP adresa s maskou ve tvaru 192.168.1.0/24), ve které je umístěn řadič domény

  • LDAP URL ve tvaru ldap://ad.example.com pro server LDAP používaný pro zjišťování, do kterých skupin uživatel patří; standardně se jako LDAP server používá řadič domény

  • jméno uživatele používané pro přihlášení k serveru LDAP.

    • pro NTLM ve tvaru distinguished name (DN), např. cn=kernun,cn=Users,dc=example,dc=com

    • pro NTLM (Samba 3) ve tvaru distinguished name (DN), např. cn=kernun,ou=users,dc=example,dc=com

  • heslo uživatele používané pro přihlášení k serveru LDAP

  • (pouze NTLM Samba 3) jméno uzlu LDAP, pod kterým jsou umístěné informace o uživatelích; zadává se ve tvaru distinguished name (DN), např. ou=users,dc=example,dc=com

  • (pouze NTLM Samba 3) jméno uzlu LDAP, pod kterým jsou umístěné informace o skupinách uživatelů; zadává se ve tvaru distinguished name (DN), např. ou=groups,dc=example,dc=com

Při inicializaci NTLM autentizace je nutné zadat jméno a heslo uživatele ze skupiny Domain Admins. Následně se systém Kernun Clear Web automaticky přidá do domény a nastaví si připojení používané pro ověřování uživatelů na doménovém řadiči.