Портал авторизации

Настройка портала авторизации

Портал авторизации – это веб-страница авторизации, на которую принудительно перенаправляются пользователи, подключившиеся к выделенной сети, перед тем как получить доступ к веб-ресурсам. Принцип работы портала авторизации заключается в перехвате HTTP/HTTPS-сессии подключившегося к выделенной сети пользователя и перенаправлении их на веб-сервер авторизации.

В качестве примера будет рассмотрен следующий сценарий использования портала авторизации (см. Рисунок – ARMA FW в качестве портала авторизации для OPT1):

  1. Гостевая сеть на интерфейсе «OPT1».

  2. Аутентификация на портале через локальную базу данных ARMA FW.

  3. Доступ к веб-серверу имеют только пользователи из группы «guests».

  4. Для ПК «Guest2» отключена необходимость авторизации.

../../../_images/fw.rp.authorization-portal.1.1.png

Рисунок – ARMA FW в качестве портала авторизации для OPT1

Для настройки портала авторизации необходимо выполнить следующие действия:

  1. Создать для интерфейса «[OPT1]» правила МЭ (см. «Создание правил межсетевого экранирования»):

  • разрешающее доступ к порталу авторизации (к порту 8000);

  • разрешающие доступ к веб-серверу.

  1. Создать портал авторизации на выбранном интерфейсе.

Параметры правил представлены в списке:

  • Доступ к порталу авторизации:

    • «Действие» – «Разрешить (Pass)»;

    • «Интерфейс» – «OPT1»;

    • «Протокол» – «TCP»;

    • «Отправитель» – «OPT1 сеть»;

    • «IP-адрес назначения» – «Этот межсетевой экран»;

    • «Диапазон портов назначения» – «Другое/8000»;

    • «Описание» – «Доступ к порталу авторизации»;

  • Доступ к веб-серверу по HTTP:

    • «Действие» – «Разрешить (Pass)»;

    • «Интерфейс» – «OPT1»;

    • «Протокол» – «TCP»;

    • «Отправитель» – «OPT1 сеть»;

    • «IP-адрес назначения» – «192.168.8.80»;

    • «Диапазон портов назначения» – «HTTP»;

    • «Описание» – «Разрешающее правило HTTP»;

  • Доступ к веб-серверу по HTTPS:

    • «Действие» – «Разрешить (Pass)»;

    • «Интерфейс» – «OPT1»;

    • «Протокол» – «TCP»;

    • «Отправитель» – «OPT1 сеть»;

    • «IP-адрес назначения» – «192.168.8.80»;

    • «Диапазон портов назначения» – «HTTPS»;

    • «Описание» – «Разрешающее правило HTTPS».

Добавление портала авторизации

Для добавления портала авторизации на выбранном интерфейсе необходимо перейти во вкладку «Зоны» подраздела зон портала авторизации («Службы» - «Портал авторизации» - «Администрирование»), нажать кнопку «bttn.plus», указать следующие значения параметров:

  • «Включен» – флажок установлен;

  • «Интерфейсы» – «OPT1»;

  • «Аутентификация через» – «Local Database»;

  • «Значение тайм-аута бездействия (в минутах)» – «0»;

  • «Значение тайм-аута сеанса (в минутах)» – «0»;

  • «Множественный вход пользователя в систему» – флажок не установлен;

  • «Сертификат SSL» – «Отсутствует»;

  • «Имя хоста» – оставить пустым;

  • «Разрешенные адреса» – оставить пустым;

  • «Пользовательский шаблон» – «Интегрированный шаблон»;

  • «Описание» – «Гостевой доступ»;

и нажать кнопку «Сохранить», а затем нажать кнопку «Применить».

Примечание

Не поддерживается назначение интерфейса, получающего IP-адрес по протоколу DHCP.

При создании или редактировании уже созданной зоны рекомендуется обратить внимание на следующие параметры:

  • «Значение тайм-аута бездействия (в минутах)» – в поле задаётся время, после которого клиенты будут отключены принудительно в случае бездействия;

  • «Значение тайм-аут сеанса (в минутах)» – в поле задаётся время, после которого клиенты будут отключены принудительно;

  • «Множественный вход пользователя в систему» – при включении данного параметра возможно выходить в сеть с одним логином с разных устройств одновременно;

  • «Прозрачный прокси (HTTP)» – при включении данного параметра трафик будет перенаправлен на прозрачный прокси. Настройки прокси-сервера описаны в разделе «Прокси» настоящего руководства;

  • «Прозрачный прокси (HTTPS)» – параметр аналогичен предыдущему.

Работа портала авторизации

Для авторизации в портале авторизации необходимо на ПК «Guest1» открыть веб-браузер и ввести IP-адрес веб-сервера, «192.168.8.80». При успешной настройке портала авторизации появится форма входа (см. Рисунок – Форма входа в портал авторизации).

../../../_images/fw.rp.authorization-portal.1.2.1.png

Рисунок – Форма входа в портал авторизации

Необходимо ввести аутентификационные данные и нажать кнопку «Войти». При успешной авторизации отобразится запрашиваемая страница (см. Рисунок – Доступ к веб-серверу).

../../../_images/fw.rp.authorization-portal.1.2.2.png

Рисунок – Доступ к веб-серверу

Для выхода из портала авторизации необходимо перейти на страницу «192.168.2.1:8000» и нажать кнопку «Выйти» (см. Рисунок – Выход из портала авторизации).

../../../_images/fw.rp.authorization-portal.1.2.3.png

Рисунок – Выход из портала авторизации

Доступ пользователей к порталу авторизации

Доступ пользователей возможно корректировать следующими параметрами:

  • «Принудительно использовать локальную группу»;

  • «Разрешенные адреса»;

  • «Разрешенные MAC-адреса».

Параметр «Принудительно использовать локальную группу»

При создании или редактировании уже созданной зоны доступен параметр «Принудительно использовать локальную группу» (см. Рисунок – Выбор группы для портала авторизации). Создание пользователей и групп пользователей для локальной БД описаны в разделе «Учётные записи и права доступа» настоящего руководства.

../../../_images/fw.rp.authorization-portal.2.1.1.png

Рисунок – Выбор группы для портала авторизации

В случае выбора группы доступ будет только у пользователей данной группы.

Согласно примеру, в данном параметре необходимо выбрать значение «guests» и нажать кнопку «Сохранить», а затем кнопку «Применить» для вступления изменений в силу.

В случае, если пользователь не состоит в выбранной группе, при аутентификации будет выведена ошибка (см. Рисунок – Ошибка аутентификации).

../../../_images/fw.rp.authorization-portal.2.1.2.png

Рисунок – Ошибка аутентификации

Параметр «Разрешенные адреса»

При создании или редактировании уже созданной зоны доступен параметр «Разрешенные адреса» (см. Рисунок – Разрешенные адреса).

../../../_images/fw.rp.authorization-portal.2.2.1.png

Рисунок – Разрешенные адреса

Для всех IP-адресов или сетей, указанных в поле данного параметра, доступ в сеть Интернет будет предоставляться без аутентификации на портале.

Согласно примеру, в данном параметре необходимо выбрать значение «192.168.2.102» и нажать кнопку «Сохранить», а затем кнопку «Применить» для вступления изменений в силу.

Параметр «Разрешенные MAC-адреса»

При создании или редактировании уже созданной зоны доступен параметр «Разрешенные MAC-адреса» (см. Рисунок – Разрешенные MAC-адреса). Данный параметр доступен только при взведении переключателя «расширенный режим» в верхней левой части формы в положение «bttn.swtch.green».

../../../_images/fw.rp.authorization-portal.2.3.1.png

Рисунок – Разрешенные MAC-адреса

Для всех MAC-адресов, указанных в поле данного параметра, доступ к веб-серверу будет предоставляться без аутентификации на портале.