Настройка авторизации групп Active Directory через аппаратный шлюз серии ZyWALL USG или контроллер NXC5200

Как настроить авторизацию групп Active Directory через аппаратный шлюз серии ZyWALL USG или контроллер беспроводной сети NXC5200?


В данной статье рассмотрим схему, в которой используется аппаратный шлюз серии ZyWALL USG или контроллер беспроводной сети NXC5200 и к нему подключен сервер MS Active Directory (AD), имеющий IP-адрес 192.168.1.222 (в нашем примере используется AD из состава ОС Windows Server 2003).
В Active Directory создан тестовый домен mycompany.local. В него входит контейнер Users, в котором находятся все пользователи и группы, которые будут участвовать в нашем примере.
Группы - Accounting и Programmers;
Пользователи - oleg, vasy, pety.
Пользователь pety входит в группу Accounting, vasy входит в группу Programmers; oleg входит в обе эти группы.
Задача: настроить авторизацию и распознавание пользователей по группам Active Directory на аппаратном шлюзе серии ZyWALL USG или контроллере NXC5200.

Настройка Active Directory

Структура Active Directory:

Создание учетной записи для пользователя oleg:

На закладке Account в поле User logon name указывается имя пользователя, которое будет использовано для авторизации на USG/NXC.
Внимание! При авторизации используется имя учетной записи, указанное в поле User logon name (на закладке Account), а не имя, указанное в поле Display name (на закладке General).

Принадлежность пользователя к группе указывается на закладке Member Of.
Пользователь oleg входит в обе группы (Accounting и Programmers).
Внимание! Все пользователи домена должны входить в общую группу, которая является основной (Primary group). В этом случае USG/NXC сможет распознать принадлежность пользователя к группам. Если Primary group отсутствует или основной назначена рабочая группа, она не будет распознана на USG/NXC. Для назначения основной группы выделите группу и нажмите кнопку Set Primary Group.
В нашем примере основной группой (Primary group) является группа Domain Users.

Пользователь pety входит в группу Accounting.
Внимание! Все пользователи домена должны входить в общую группу, которая является основной (Primary group). В этом случае USG/NXC сможет распознать принадлежность пользователя к группам. Если Primary group отсутствует или основной назначена рабочая группа, она не будет распознана на USG/NXC. Для назначения основной группы выделите группу и нажмите кнопку Set Primary Group.
В нашем примере основной группой (Primary group) является группа Domain Users.

Пользователь vasy входит в группу Programmers.
Внимание! Все пользователи домена должны входить в общую группу, которая является основной (Primary group). В этом случае USG/NXC сможет распознать принадлежность пользователя к группам. Если Primary group отсутствует или основной назначена рабочая группа, она не будет распознана на USG/NXC. Для назначения основной группы выделите группу и нажмите кнопку Set Primary Group.
В нашем примере основной группой (Primary group) является группа Domain Users.

В группу Accounting входят пользователи oleg и pety, а в группу Programmers входят пользователи oleg и vasy.

 

Настройка аппаратного шлюза серии ZyWALL USG или контроллера NXC5200

В нашем примере настройки представлены на основе беспроводного контроллера NXC5200, но они совпадают с настройками аппаратных шлюзов серии ZyWALL USG.
Зайдите в меню Configuration > Object > AAA Server, перейдите на закладку Active Directory, нажмите кнопку Add и создайте тестовый аккаунт test сервера AD, находящегося в локальной сети устройства USG/NXC и имеющего IP-адрес 192.168.1.222.

Внимание! Обратите внимание на синтаксис указания адресов в полях Base DN (адрес домена) и Bind DN для авторизации учетной записи администратора сервера для доступа к информации о пользователях AD.
В разделе Configuration Validation вы можете проверить подключение к AD-серверу, попытавшись авторизовать существующего пользователя на сервере.

В меню Configuration > Object > User/Group на закладке User нужно создать два групповых пользователя Prorgrammers и Accounting с типом ext-group-user.

Внимание! Обратите внимание на синтаксис указания идентификатора группы (Group Identifier). Нужно учитывать регистр букв. CN (контейнер) и DC (домен) нужно указывать большими (прописными) буквами!

В разделе Configuration Validation вы можете проверить подключение к AD-серверу и принадлежность пользователя к группе. Для проверки введите имя пользователя и нажмите кнопку Test. Если пользователь принадлежит к данной группе, в поле Test Status будет значение OK.
Как видно из нашего примера, пользователь vasy принадлежит к группе Programmers. Это отображается в поле Returned User Attributes в строке memberOf.

В следующем примере видно, что пользователь pety не принадлежит к группе Programmers. В поле Test Status будет сообщение ... does not belong to this group (не принадлежит к этой группе).

Пользователь oleg принадлежит и к группе Accounting, и к группе Programmers, что видно в поле Returned User Attributes в строках memberOf при тестировании этого пользователя.

На этом настройка авторизации групп Active Directory через USG/NXC завершена.
Данная статья описывает настройку авторизации пользователей из Active Directory. Впоследствии вы можете использовать авторизованного пользователя в правилах межсетевого экрана Firewall для настройки доступа и Force User Authentication в Captive Portal.

 

KB-2318

Была ли эта статья полезной?
Пользователи, считающие этот материал полезным: 1 из 1

Комментарии

0 комментариев