(!) Настройка AD/LDAP на аппаратном шлюзе ZyWALL 1050

Как настроить аппаратный шлюз ZyWALL 1050 для использования аутентификации пользователей на внешнем сервере Active Directory/LDAP?


В аппаратных шлюзах ZyWALL 1050 реализован механизм аутентификации пользователей на внешнем сервере Microsoft Active Directory или LDAP (Lightweight Directory Access Protocol, облегченный протокол доступа к каталогам). LDAP - это сетевой протокол для доступа к службам каталогов X.500, используемых для хранения и управления информацией об элементах вашей сети, таких, как учетные записи пользователей, пользовательские группы, хосты и серверы. Существует несколько различных стандартов, которые используют LDAP для управления учетными записями пользователей, например Microsoft Active Directory (AD). AD представляет собой LDAP-совместимую реализацию интеллектуальной службы каталогов, разработанную в международной корпорации Microsoft.


В основе структуры AD используется доменная иерархия, главными компонентами которой можно назвать каталогизированную базу данных сетевых объектов и субъектов (пользователей) и службу, ответственную за работу каталогов. В базе данных может содержаться информация об аккаунтах пользователей, компьютерах, сетевых расположениях общего доступа и принтерах.
Среди возможностей Active Directory:

  • Обеспечение простого способа доступа к требуемым ресурсам в сети;
  • Аутентификация пользователей;
  • Доступ к ресурсам контролируемой сети;
  • Управление доступом на основе политик пользователей и их групп;
  • Возможность разрешения пользователям доступа к информации собственно каталога.


Ниже описана процедура аутентификации пользователей сети, управляемой с помощью ZyWALL на сервере AD/LDAP:


1. Включение на ZyWALL использования базы данных сервера для аутентификации пользователей.
2. Авторизация пользователя с использованием назначенного в базе имени пользователя и пароля для подключения.
3. Выполнение запроса ZyWALL к серверу AD/LDAP.
4. В случае успешного подключения к серверу, ZyWALL проверит информацию о пользователе в каталоге Active Directory, используя его учетную запись (имя пользователя и пароль).
5. Если проверка прошла успешно, то пользователь получает доступ. В противном случае, доступ будет заблокирован.



Ниже представлены шаги по настройке внешнего сервера AD в ZyWALL 1050.

Шаг 1. Настройка AAA Server.



Поле 



Описание


HostВведите IP-адрес или доменное имя (до 63 символов) сервера LDAP. Например, Host:172.23.5.1
PortУкажите номер порта на сервере AD, через который ZyWALL будет посылать запросы аутентификации. Введите число от 1 до 65535. По умолчанию используется порт 389. При использовании безопасного соединения SSL обычно используется порт 636.
Bind DNУкажите уникальное имя DN (Distinguished Name) для регистрации на сервере AD. Имя DN должно содержать не более 63 символов. Например, cn=12813,OU=withmail,DC=zyxel,DC=com
PasswordЕсли требуется, введите пароль (до 15 символов), который ZyWALL будет использовать для подключения к серверу AD.
Base DNУкажите имя каталога (до 63 символов). Например, OU=withmail,DC=zyxel,DC=com.
CN IdentifierУкажите уникальное стандартное имя, которое будет использоваться в качестве уникальной идентификационной записи в каталоге AD. Имя должно содержать не более 63 символов. Например, при подключении пользователя 12813 для аутентификации будет отправляться строка cn=12813 на сервер AD.
Search time limitУкажите период времени (между 1 и 300 секундами) перед отключением шлюза ZyWALL от сервера AD. В этом случае, аутентификация пользователя будет невозможна. Данный параметр используется, когда пользователь не прописан на сервере AD или сервер недоступен.
Use SSLУкажите Use SSL для использования безопасного подключения к серверу AD.
ApplyНажмите Apply для сохранения настроек.
ResetНажмите Reset для сброса настроек.


Шаг 2. После настройки AAA Server следует изменить порядок использования методов аутентификации для сервера AD.



Шаг 3. Для того чтобы указать аутентификацию на основе MS AD (LDAP), используется тип пользователя ms-ad-users (ldap-users). Больше никакой учетной записи создавать не нужно.



Шаг 4. Следует создать правило, определяющее пользователей, которым требуется аутентификация, согласно указанной конфигурации. При обращении к сети пользователи будут перенаправлены на страницу авторизации и должны будут указать логин и пароль для доступа к объекту назначения.



Шаг 5. После завершения настройки пользователи смогут подключиться со своей учетной записью на сервере AD.
Администратор может отслеживать информацию об аутентификации пользователей в логах устройства в меню Logs.



В случае если для хранения и обработки каталогов ресурсов сети используется сервер LDAP, перед настройкой ZyWALL 1050 можно воспользоваться утилитой LDAP Browser, которая поможет выяснить архитектуру сервера. Загрузить ее можно по следующей ссылке: http://www.openchannelsoftware.com/projects/LDAP_Browser_Editor


KB-2086

Была ли эта статья полезной?
Пользователи, считающие этот материал полезным: 0 из 0