Настройка авторизации групп Active Directory через аппаратный шлюз серии ZyWALL USG или контроллер NXC5200

В данной статье рассмотрим схему, в которой используется аппаратный шлюз серии ZyWALL USG или контроллер беспроводной сети NXC5200 и к нему подключен сервер MS Active Directory (AD), имеющий IP-адрес 192.168.1.222 (в нашем примере используется AD из состава ОС Windows Server 2003).
В Active Directory создан тестовый домен mycompany.local. В него входит контейнер Users, в котором находятся все пользователи и группы, которые будут участвовать в нашем примере.
Группы — Accounting и Programmers;
Пользователи — oleg, vasy, pety.
Пользователь pety входит в группу Accounting, vasy входит в группу Programmers; oleg входит в обе эти группы.
Задача: настроить авторизацию и распознавание пользователей по группам Active Directory на аппаратном шлюзе серии ZyWALL USG или контроллере NXC5200.

Настройка Active Directory

Структура Active Directory:

Создание учетной записи для пользователя oleg:

На закладке Account в поле User logon name указывается имя пользователя, которое будет использовано для авторизации на USG/NXC.
Внимание! При авторизации используется имя учетной записи, указанное в поле User logon name (на закладке Account), а не имя, указанное в поле Display name (на закладке General).

Принадлежность пользователя к группе указывается на закладке Member Of.
Пользователь oleg входит в обе группы (Accounting и Programmers).
Внимание! Все пользователи домена должны входить в общую группу, которая является основной (Primary group). В этом случае USG/NXC сможет распознать принадлежность пользователя к группам. Если Primary group отсутствует или основной назначена рабочая группа, она не будет распознана на USG/NXC. Для назначения основной группы выделите группу и нажмите кнопку Set Primary Group.
В нашем примере основной группой (Primary group) является группа Domain Users.

Пользователь pety входит в группу Accounting.
Внимание! Все пользователи домена должны входить в общую группу, которая является основной (Primary group). В этом случае USG/NXC сможет распознать принадлежность пользователя к группам. Если Primary group отсутствует или основной назначена рабочая группа, она не будет распознана на USG/NXC. Для назначения основной группы выделите группу и нажмите кнопку Set Primary Group.
В нашем примере основной группой (Primary group) является группа Domain Users.

Пользователь vasy входит в группу Programmers.
Внимание! Все пользователи домена должны входить в общую группу, которая является основной (Primary group). В этом случае USG/NXC сможет распознать принадлежность пользователя к группам. Если Primary group отсутствует или основной назначена рабочая группа, она не будет распознана на USG/NXC. Для назначения основной группы выделите группу и нажмите кнопку Set Primary Group.
В нашем примере основной группой (Primary group) является группа Domain Users.

В группу Accounting входят пользователи oleg и pety, а в группу Programmers входят пользователи oleg и vasy.

Настройка аппаратного шлюза серии ZyWALL USG или контроллера NXC5200

В нашем примере настройки представлены на основе беспроводного контроллера NXC5200, но они совпадают с настройками аппаратных шлюзов серии ZyWALL USG.
Зайдите в меню Configuration > Object > AAA Server, перейдите на закладку Active Directory, нажмите кнопку Add и создайте тестовый аккаунт test сервера AD, находящегося в локальной сети устройства USG/NXC и имеющего IP-адрес 192.168.1.222.

Внимание! Обратите внимание на синтаксис указания адресов в полях Base DN (адрес домена) и Bind DN для авторизации учетной записи администратора сервера для доступа к информации о пользователях AD.
В разделе Configuration Validation вы можете проверить подключение к AD-серверу, попытавшись авторизовать существующего пользователя на сервере.

В меню Configuration > Object > User/Group на закладке User нужно создать два групповых пользователя Prorgrammers иAccounting с типом ext-group-user.

Внимание! Обратите внимание на синтаксис указания идентификатора группы (Group Identifier). Нужно учитывать регистр букв. CN(контейнер) и DC (домен) нужно указывать большими (прописными) буквами!

В разделе Configuration Validation вы можете проверить подключение к AD-серверу и принадлежность пользователя к группе. Для проверки введите имя пользователя и нажмите кнопку Test. Если пользователь принадлежит к данной группе, в поле Test Status будет значение OK.
Как видно из нашего примера, пользователь vasy принадлежит к группе Programmers. Это отображается в поле Returned User Attributes в строке memberOf.

В следующем примере видно, что пользователь pety не принадлежит к группе Programmers. В поле Test Status будет сообщение … does not belong to this group (не принадлежит к этой группе).

Пользователь oleg принадлежит и к группе Accounting, и к группе Programmers, что видно в поле Returned User Attributes в строкахmemberOf при тестировании этого пользователя.

На этом настройка авторизации групп Active Directory через USG/NXC завершена.
Данная статья описывает настройку авторизации пользователей из Active Directory. Впоследствии вы можете использовать авторизованного пользователя в правилах межсетевого экрана Firewall для настройки доступа и Force User Authentication в Captive Portal.