Kernun Clear Web podporuje autentizaci uživatelů v prostředí Microsoft Active Directory a Samba. Dokáže zjistit jméno uživatele přihlášeného do domény a jemu příslušející skupiny. Tyto informace využívá k nalezení správného profilu nebo výjimky pro řízení přístupu uživatele k webu podle nastavené politiky 4 – „Politika“. Uživatelé a skupiny se následně objevují v monitoru spojení, v záznamech, ve statistikách a lze jich využít i v testu politiky.
Autentizace uživatelů je podporována pro veškerý HTTP a FTP provoz, a pro HTTPS v netransparentním režimu.
Doporučený způsob autentizace je pomocí mechanismu Kerberos, zejména z důvodu efektivnější síťové komunikace a podpoře autentizace uživatelů na terminálových serverech. Protokol NTLM je podporován jako záložní možnost pro případy, kdy klientské aplikace nepodporují Kerberos nebo při použití serveru Samba verze 3 a vyšší v doméně Windows NT.
Ke konfiguraci autentizace slouží podsekce v aktivitě . Po nastavení parametrů autentizace a aktivaci konfigurace je nutné provést inicializaci autentizačního mechanismu pomocí tlačítka . Funkčnost autentizace lze ověřit pomocí tlačítka . Obě tlačítka se zobrazí po zapnutí autentizace a aktivaci konfigurace.
Prohlížeč Google Chrome nepodporuje autentizaci uživatelů ve FTP provozu, viz https://bugs.chromium.org/p/chromium/issues/detail?id=310456.
Pro úspěšnou inicializaci autentizace je nutné splnit následující předpoklady:
Adresa a jméno doménového řadiče musí být správně nastaveny na všech DNS serverech, používaných zařízením Kernun Clear Web. Musí správně fungovat převod jména doménového řadiče na IP adresu i zpětný převod IP adresy na jméno, kdy jako první prvek seznamu musí vracet jméno uvedené v konfiguraci autentizace.
Hodiny na doménovém řadiči a na systému Kernun Clear Web musí být synchronizované. To lze zajistit pomocí protokolu NTP, kdy se jako primární časový server pro Kernun Clear Web nastaví hlavní časový server interní sítě, což je většinou doménový řadič. Doménové řadiče jsou automaticky používány jako NTP servery a jsou předřazeny NTP serverům ze sekce Parametry systému.
Před zahájením konfigurace se ujistěte, že prostředí vaší sítě splňuje všechny předpoklady uvedené v 2 – „Autentizace uživatelů“.
Pro Kerberos autentizaci je nutné nakonfigurovat pouze dva parametry:
jméno domény Active Directory ve tvaru např. example.com
jméno řadiče domény ve tvaru např. ad.example.com
Lze zadat několik redundantních řadičů domén pro zajištění autentizace i v případě výpadku některého z nich.
Při konfiguraci proxy ve webovém prohlížeči se ujistěte, že zadáváte přesně stejné jméno zařízení Kernun Clear Web, které bylo použito při vytváření souboru keytab. Pro správnou funkčnost autentizace totiž nestačí, nastavíte-li IP adresu, zkrácené jméno (bez domény), nebo alternativní jméno, i když se převede na stejnou IP adresu.
V rámci inicializace Kerberos autentizace je potřeba vytvořit soubor keytab, který obsahuje kryptografické klíče sdílené systémem Kernun Clear Web a řadičem domény. Volba jedné ze dvou podporovaných metod vytvoření souboru keytab se provádí při zahájení inicializace připojení k Active Directory.
Vytvořte v doméně nový uživatelský účet. Nastavte účet tak,
aby mu nikdy nevypršela platnost hesla. Účet musí mít dostatečná
práva na čtení informací o uživatelích a skupinách
uživatelů v Active Directory (standardně stačí příslušnost
do skupiny Domain Users). Poté vytvořte
soubor keytab ručně na doménovém radiči jako administrátor zadáním
příkazu (příkazový řádek musí být spuštěn jako správce):
C:\>ktpass /outKEYTAB/princ HTTP/proxy@AD_DOMAIN/mapuserUSER@AD_DOMAIN/pass * /crypto All /ptype KRB5_NT_PRINCIPAL
kde KEYTABproxyAD_DOMAINUSERproxyAD_DOMAIN
Tento způsob inicializace autentizace z technických důvodů
nefunguje v režimu cluster. Po případném nakonfigurování
clusteru bude nutné reinicializovat autentizaci nahráním keytabu.
S pomocí jména a hesla uživatele ze skupiny
Domain Admins
se systém Kernun Clear Web automaticky přidá do domény a vygeneruje
potřebný keytab soubor na hostitelské jméno zařízení Kernun Clear Web.
Zkontrolujte, zda vytvořený účet v doméně má dostatečná
práva na čtení informací o uživatelích a jejich
skupinách v Active Directory.
Před zahájením konfigurace se ujistěte, že prostředí vaší sítě splňuje všechny předpoklady uvedené v 2 – „Autentizace uživatelů“.
Pro autentizaci metodou NTLM a NTLM (Samba 3) je nutné nakonfigurovat tyto parametry:
jméno domény Active Directory nebo Windows NT
jméno pracovní skupiny, standardně je to první komponenta jména domény (před první tečkou)
jméno řadiče domény ve tvaru
ad.example.com
adresa sítě (IP adresa s maskou
ve tvaru 192.168.1.0/24
LDAP URL ve tvaru
ldap://
pro server LDAP používaný pro zjišťování, do kterých skupin
uživatel patří; standardně se jako LDAP server používá řadič
doményad.example.com
jméno uživatele používané pro přihlášení k serveru LDAP.
pro NTLM ve tvaru distinguished
name (DN), např.
cn=kernun,cn=Users,dc=example,dc=com
pro NTLM (Samba 3) ve tvaru distinguished
name (DN), např.
cn=kernun,ou=users,dc=example,dc=com
heslo uživatele používané pro přihlášení k serveru LDAP
(pouze NTLM Samba 3) jméno uzlu LDAP, pod kterým
jsou umístěné informace o uživatelích; zadává se ve tvaru
distinguished name (DN), např.
ou=users,dc=example,dc=com
(pouze NTLM Samba 3) jméno uzlu LDAP, pod kterým
jsou umístěné informace o skupinách uživatelů; zadává
se ve tvaru distinguished name (DN), např.
ou=groups,dc=example,dc=com
Při inicializaci NTLM autentizace je nutné zadat jméno
a heslo uživatele ze skupiny
Domain Admins. Následně
se systém Kernun Clear Web automaticky přidá do domény a nastaví
si připojení používané pro ověřování uživatelů na doménovém
řadiči.