Портал авторизации

Настройка портала авторизации

Портал авторизации – это веб-страница авторизации, на которую принудительно перенаправляются пользователи, подключившиеся к выделенной сети, перед тем как получить доступ к веб-ресурсам. Принцип работы портала авторизации заключается в перехвате HTTP/HTTPS-сессии подключившегося к выделенной сети пользователя и перенаправлении их на веб-сервер авторизации.

В качестве примера будет рассмотрен следующий сценарий использования портала авторизации (см. Рисунок – ARMA FW в качестве портала авторизации для OPT1):

  1. Гостевая сеть на интерфейсе «OPT1».

  2. Аутентификация на портале через локальную базу данных ARMA FW.

  3. Доступ к веб-серверу имеют только пользователи из группы «guests».

  4. Для ПК «Guest2» отключена необходимость авторизации.

../../../_images/fw.rp.22.1.1.png

Рисунок – ARMA FW в качестве портала авторизации для OPT1

Для настройки портала авторизации необходимо выполнить следующие действия:

  1. Создать для интерфейса «[OPT1]» правила МЭ (см. Создание правил межсетевого экранирования):

  • разрешающее доступ к порталу авторизации (к порту 8000);

  • разрешающие доступ к веб-серверу.

  1. Создать портал авторизации на выбранном интерфейсе.

Параметры правил представлены в списке:

  • Доступ к порталу авторизации:

    • «Действие» – «Разрешить (Pass)»;

    • «Интерфейс» – «OPT1»;

    • «Протокол» – «TCP»;

    • «Отправитель» – «OPT1 сеть»;

    • «IP-адрес назначения» – «Этот межсетевой экран»;

    • «Диапазон портов назначения» – «Другое/8000»;

    • «Описание» – «Доступ к порталу авторизации»;

  • Доступ к веб-серверу по HTTP:

    • «Действие» – «Разрешить (Pass)»;

    • «Интерфейс» – «OPT1»;

    • «Протокол» – «TCP»;

    • «Отправитель» – «OPT1 сеть»;

    • «IP-адрес назначения» – «192.168.8.80»;

    • «Диапазон портов назначения» – «HTTP»;

    • «Описание» – «Разрешающее правило HTTP»;

  • Доступ к веб-серверу по HTTPS:

    • «Действие» – «Разрешить (Pass)»;

    • «Интерфейс» – «OPT1»;

    • «Протокол» – «TCP»;

    • «Отправитель» – «OPT1 сеть»;

    • «IP-адрес назначения» – «192.168.8.80»;

    • «Диапазон портов назначения» – «HTTPS»;

    • «Описание» – «Разрешающее правило HTTPS».

Добавление портала авторизации

Для добавления портала авторизации на выбранном интерфейсе необходимо перейти в подраздел зон портала авторизации («Службы» - «Портал авторизации» - «Администрирование» - вкладка «Зоны»), нажать кнопку «bttn.plus», заполнить поля в соответствии с таблицей (см. Таблица «Добавление зоны авторизации») и нажать кнопку «Сохранить», а затем нажать кнопку «Применить».

Таблица «Добавление зоны авторизации»

Параметр

Значение

Включено

Выбрано

Интерфейсы

OPT1

Аутентификация через

Локальная база данных

Значение тайм-аута бездействия

0

Значение тайм-аута сеанса

0

Множественный вход пользователя в систему

Не выбрано

Сертификат SSL

Отсутствует

Имя хоста

(оставить пустым)

Разрешенные адреса

(оставить пустым)

Пользовательский шаблон

Интегрированный шаблон

Описание

Гостевой доступ

При создании или редактировании уже созданной зоны следует обратить внимание на данные параметры:

  • «Значение тайм-аута бездействия (в минутах)» – в поле задаётся время, после которого клиенты будут отключены принудительно в случае бездействия;

  • «Значение тайм-аут сеанса (в минутах)» – в поле задаётся время, после которого клиенты будут отключены принудительно;

  • «Множественный вход пользователя в систему» – при включении данного параметра возможно выходить в сеть с одним логином с разных устройств одновременно;

  • «Прозрачный прокси (HTTP)» – при включении данного параметра трафик будет перенаправлен на прозрачный прокси. Настройки прокси-сервера описаны в разделе Прокси настоящего руководства;

  • «Прозрачный прокси (HTTPS)» – параметр аналогичен предыдущему.

Работа портала авторизации

Для авторизации в портале авторизации необходимо на ПК «Guest1» открыть веб-браузер и ввести IP-адрес веб-сервера, «192.168.8.80». При успешной настройке портала авторизации появится форма входа (см. Рисунок – Форма входа в портал авторизации).

../../../_images/fw.rp.22.1.2.1.png

Рисунок – Форма входа в портал авторизации

Необходимо ввести аутентификационные данные и нажать кнопку «Вход». При успешной авторизации отобразится запрашиваемая страница (см. Рисунок – Доступ к веб-серверу).

../../../_images/fw.rp.22.1.2.2.png

Рисунок – Доступ к веб-серверу

Для выхода из Портала авторизации необходимо перейти на страницу «192.168.2.1:8000» и нажать кнопку «Выйти» (см. Рисунок – Выход из Портала авторизации).

../../../_images/fw.rp.22.1.2.3.png

Рисунок – Выход из Портала авторизации

Доступ пользователей к порталу авторизации

Доступ пользователей возможно корректировать следующими параметрами:

  • «Принудительно использовать локальную группу»;

  • «Разрешенные адреса»;

  • «Разрешенные MAC-адреса».

Параметр «Принудительно использовать локальную группу»

При создании или редактировании уже созданной зоны доступен параметр «Принудительно использовать локальную группу» (см. Рисунок – Выбор группы для портала авторизации). Создание пользователей и групп пользователей для локальной БД описаны в разделе Учётные записи и права доступа настоящего руководства.

../../../_images/fw.rp.22.2.1.1.png

Рисунок – Выбор группы для портала авторизации

В случае выбора группы доступ будет только у пользователей данной группы.

Согласно примеру, в данном параметре необходимо выбрать значение «guests» и нажать кнопку «Сохранить», а затем кнопку «Применить» для вступления изменений в силу.

В случае, если пользователь не состоит в выбранной группе, при аутентификации будет выведена ошибка (см. Рисунок – Ошибка аутентификации).

../../../_images/fw.rp.22.2.1.2.png

Рисунок – Ошибка аутентификации

Параметр «Разрешенные адреса»

При создании или редактировании уже созданной зоны доступен параметр «Разрешенные адреса» (см. Рисунок – Разрешенные адреса).

../../../_images/fw.rp.22.2.2.1.png

Рисунок – Разрешенные адреса

Для всех IP-адресов или сетей, указанных в поле данного параметра, доступ в сеть Интернет будет производиться без аутентификации на портале.

Согласно примеру, в данном параметре необходимо выбрать значение «192.168.2.102» и нажать кнопку «Сохранить», а затем кнопку «Применить» для вступления изменений в силу.

Параметр «Разрешенные MAC-адреса»

При создании или редактировании уже созданной зоны доступен параметр «Разрешенные MAC-адреса» (см. Рисунок – Разрешенные MAC-адреса). Данный параметр доступен только при взведении переключателя «расширенный режим» в верхней левой части формы.

../../../_images/fw.rp.22.2.3.1.png

Рисунок – Разрешенные MAC-адреса

Для всех MAC-адресов, указанных в поле данного параметра, доступ к веб-серверу будет производиться без аутентификации на портале.