Наполнение программы пользователями

Центральное понятие в Traffic Inspector - учетная запись пользователя. Только пользователь, для которого имеется учетная запись в программе, и который успешно проходит аутентификацию, сможет получить доступ в Интернет.

Программа поддерживает концепцию групп пользователей. Группировка пользователей в группу позволяет более просто управлять настройками этих пользователей - настройки группы наследуются ее членами.

Типы учетных записей в Traffic Inspector

Traffic Inspector поддерживает различные типы учетных записей пользователей:

  • Учетная запись Traffic Inspector
  • Учетная запись Traffic Inspector на основе учетной записи Windows (локальной или доменной)
  • Учетная запись с идентификацией по сетевым идентификаторам (IP-адрес / MAC-адрес)
  • Учетная запись с идентификацией по email-адресу

Типы аутентификации пользователей в Traffic Inspector

Traffic Inspector поддерживает следующие типы аутентификации:

  • По логину / паролю
  • По IP-адресу
  • По MAC-адресу
  • По email-адресу

Примечание

В Traffic Inspector поддерживаются комбинации нескольких типов аутентификации. Например, можно сочетать аутентификацию по IP-адресу и MAC-адресу, аутентификацию по логину/паролю и IP-адресу и/или MAC-адресу. В качестве дополнительного параметра, для большинства типов аутентификации, можно указать VLAN ID.

Способы добавления (регистрации) пользователей в программе

Одна из первых задач, которую решает администратор Traffic Inspector - добавление (регистрация) пользователей в программе. Traffic Inspector поддерживает следующие механизмы регистрации:

Мастер создания пользователя

Базовый способ добавления пользователей в программу заключается в использовании Мастера создания пользователя. Данный тип регистрации производится администратором Traffic Inspector вручную. C помощью данного типа регистрации можно создать учетную запись любого типа.

Мастер импорта пользователей

В Traffic Inspector реализован Мастер импорта пользователей. Данный тип регистрации производится администратором Traffic Inspector вручную. C помощью данного типа регистрации можно создавать учетные записи двух типов:

  • Учетная запись Traffic Inspector на основе доменной учетной записи Windows
  • Учетная запись с идентификацией по сетевым идентификаторам (IP-адрес / MAC-адрес)

В процессе работы с Мастером импорта пользователей, администратор выбирает объект сканирования - контроллер домена Active Directory или локальную сеть. Обнаруженные объекты (доменные пользователи) или компьютеры могут быть добавлены в Traffic Inspector в виде учетных записей.

Регистрация пользователя по сетевой активности

Альтернативный способ добавления пользователей в программу - регистрация пользователя по сетевой активности. После получения сетевых пакетов от еще неизвестного пользователя, для него автоматически создается учетная запись. В зависимости от настроек Traffic Inspector, может понадобиться утверждение создания учетной записи администратором программы. C помощью данного типа регистрации можно создавать учетную запись с идентификацией по сетевым идентификаторам (IP-адрес / MAC-адрес).

Автодобавление учетных записей в доменной среде Active Directory

При данном способе регистрации администратор задает соответствие между доменной группой и группой в программе Traffic Inspector. Автоматическая регистрация учетной записи происходит при первой удачной попытке аутентификации. Данная попытка может быть осуществлена через клиентский агент или веб-прокси. Автодобавление - единственный случай, когда аутентификация сопровождается регистрацией учетной записи.

Регистрация на веб-портале

Traffic Inspector имеет в своем составе веб-портал, который позволяет пользователям самим регистрироваться в программе. В зависимости от настроек Traffic Inspector, может понадобиться утверждение создания учетной записи администратором программы. C помощью данного типа регистрации можно создавать учетные записи двух типов:

  • Учетная запись Traffic Inspector
  • Учетная запись Traffic Inspector на основе учетной записи Windows (локальной или доменной)

Регистрация пользователя в результате прохождения СМС-идентификации

Другой разновидностью регистрации пользователя на веб-портале является регистрация при прохождения СМС-идентификации. Регистрация проводится самим пользователем на веб-портале. Пользователь указывает свой телефон, и, затем, код подтверждения, полученный в СМС-сообщении. C помощью данного типа регистрации можно создавать учетную запись с идентификацией по MAC-адресу.

Мастер создания пользователя

Создадим учетную запись пользователя в локальной базе программы с помощью Мастера создания пользователя.

  1. Для запуска Мастера создания пользователя пройдите в раздел [Корень консоли\Traffic Inspector [LOCAL]\Пользователи и группы], фрейм Пользователи и группы, вкладка Действия, ссылка Добавить пользователя.
_images/add_user_link.png

  1. На вкладке Способ подключения выберите Прямое подключение.
_images/connection_method.png

  1. На вкладке Способ авторизации выберите Учетная запись (логин) Traffic Inspector.
_images/authentication_method.png

  1. На вкладке Доступ, во фрейме Тип доступа, сделайте выбор между настройками Безлимитный и Автоотключение. Режим Безлимитный позволяет пользователю работать, даже если исчерпан его баланс. Режим Автоотключение предполагает блокировку пользователя при исчерпании баланса.
_images/access_type.png

  1. Остальные настройки можно оставить без изменения. На вкладе Создать пользователя нажмите Готово.
_images/done.png

Мастер импорта пользователей

В процессе работы с Мастером импорта пользователей, администратор выбирает объект сканирования - контроллер домена Active Directory или локальную сеть. Обнаруженные объекты (доменные пользователи) или компьютеры могут быть добавлены в Traffic Inspector в виде учетных записей.

Продемонстрируем работу мастера на примере импортирования пользователей из домена Active Directory.

Примечание

Для импортирования пользователей из домена должна быть настроена интеграция Traffic Inspector с доменной средой Active Directory.

  1. Для запуска Мастера импорта пользователей пройдите в раздел [Корень консолиTraffic Inspector [LOCAL]Пользователи и группы], фрейм Пользователи и группы, вкладка Действия, ссылка Импорт пользователей.
_images/import_users_wizard.png

  1. На вкладке Выбор режима выберите Импорт пользователей Windows.
_images/selecting_mode.png

  1. На вкладке Подключения к AD выберите укажите параметры подключения домену. По умолчанию, подключение осуществляется к текущему домену, с учетными данными текущего пользователя. Несмотря на это, мы явно укажем данные текущего домена для наглядности. Для использования другого домена, укажите DNS-имя нужного домена и DNS-имя контроллера домена. Для использования другого пользователя, укажите его логин и пароль.
_images/connection_to_ad.png

  1. На вкладке Выбор расположения укажите расположение доменной группы в структуре объектов AD.
_images/selecting_location.png

Примечание

В дереве необходимо выбирать конечный узел ветки (т.н. листок).


  1. На вкладке Выбор пользователей выберите доменных пользователей, которые подлежат импортированию и нажмите Далее.
_images/selecting_users.png

Примечание

Если доменные пользователи уже были импортированы, то результаты поиска на вкладке Выбор пользователей будут пустыми.


  1. На вкладке Параметры пользователя определите начальные настройки для импортируемых пользователей.
_images/user_settings.png

  1. На вкладке Готово нажмите на кнопку Готово, чтобы импортировать пользователей и завершить работу мастера.

Регистрация пользователя по сетевой активности

Настроим регистрацию пользователей по сетевой активности с последующей аутентификацией по сочетанию IP-адрес + MAC-адрес.

Для настройки данного функционала выполните следующие шаги:

  1. Пройдите в раздел [Корень консоли\Traffic Inspector []\Контекстное меню\Свойства] и установите флаг Вести учет обращений во внешнюю сеть от неавторизованных пользователей.
_images/track_user_access.png

  1. Пройдите в раздел [Корень консоли\Traffic Inspector []\Правила\Правила сетей], и выберите Создать новое правило.
_images/rulename.png

Примечание

Правила сетей используются в Traffic Inspector для задания настроек аутентификации и регистрации для разных IP-сетей, а также для ряда других настроек.


  1. На вкладке IP адреса и сети укажите диапазон IP-адресов, используемых во внутренней сети.
_images/IP_addresses_and_networks.png

Примечание

В качестве диапазона указывается IP-сеть, расположенная со стороны LAN-адаптера Traffic Inspector. В нашем примере, используется IP-сеть 192.168.137.0/24. Мы указываем диапазон 192.168.137.2 - 192.168.137.254, так как IP-адрес 192.168.137.1 присвоен LAN-адаптеру Traffic Inspector, а IP-адрес 192.168.137.255 является широковещательным и не используется клиентскими машинами.


  1. На вкладке Аутентификация снимите два флага:
  • Флаг Basic
  • Флаг NTLM
_images/auth1.png

Примечание

C выбранного диапазона аутентификация будет вестись по сочетанию IP-адрес + MAC-адрес. В такой ситуации, логин / пароль пользователя не будет использовать в процессе аутентификации, и, следовательно, методы аутентификации Basic и NTLM можно выключить.


  1. На вкладке Тип сети выберите Смешанный режим.
_images/network_type.png

  1. На вкладке Настройки пользователя укажите настройки аутентификации в соответствии со скриншотом.
_images/user_settings1.png

  1. Убедитесь, что в разделе Правила сетей, созданное правило регистрация_по_сетевой_активности находится выше правила All IP addresses.
_images/rule_order1.png

Автодобавление учетных записей в доменной среде Active Directory

Данный тип регистрации предполагает добавление доменных пользователей в программу при их первой попытке осуществить аутентификацию на шлюзе Traffic Inspector.

Примечание

Автодобавление доменных пользователей в программу требует осуществления базовых настроек для поддержки доменов Active Directory.

В ходе настройки автодобавления, мы ассоциируем конкретную группу в домене, с конкретной группой в Traffic Inspector. Доменные пользователи, для которых нет явной ассоциации, будут добавляться в Пользователи вне групп.


  1. Создание группы в Traffic Inspector

Пройдите в раздел [Корень консоли\Traffic Inspector [LOCAL]\Пользователи и группы]. Cоздайте группу Traffic Inspector. Группа может называться произвольно, но может оказаться уместным дать группе такое же название, как и у доменной группы, которая будет с ней ассоциирована на следующем шаге. Например, если доменная группа называется Domain Users, мы можем дать аналогичное название группе Traffic Inspector.

_images/ti_group.png

  1. Ассоциация доменной группы и группы Traffic Inspector

Вызовите [Контекстное меню\Свойства] по ранее созданной группе Traffic Inspector.

На вкладке Автодобавление, пропишите:

DOM\Domain Users

где DOM - (короткое, Pre-Windows 2000) имя Вашего домена, Domain Users - имя доменной группы

_images/association_group_to_group.png

_images/ti_group_2.png

  1. Ассоциация остальных доменных пользователей

Пройдите в общие свойства пользователей - [Корень консоли\Traffic Inspector []\Пользователи и группы\Контекстное меню\Свойства].

Установите флаг Разрешить автодобавление.

На вкладке Автодобавление, пропишите:

DOMAIN\*

где DOM - (короткое, Pre-Windows 2000) имя домена, * - обозначает все доменные группы

_images/association_group_to_general_user_list.png

Теперь, при первой попытке доменного пользователя из группы Domain Users аутентфицироваться в Traffic Inspector любым из доступных методов, пользователь будет добавлен в группу Domain Users в Traffic Inspector.

Попытка аутентификации может быть осуществлена с помощью:

  • клиентского агента
  • web агента
  • авторизация через браузер на прокси
  • авторизация через браузер на веб-портале

Регистрация на веб-портале

Настроим регистрацию пользователей через веб-портал по учетной записи Traffic Inspector.

Для настройки выполните следующие шаги:

  1. Пройдите в раздел [Корень консоли\Traffic Inspector []\Контекстное меню\Свойства] и установите флаг Вести учет обращений во внешнюю сеть от неавторизованных пользователей.
_images/track_user_access1.png

  1. Пройдите в раздел [Корень консоли\Traffic Inspector []\Правила\Правила сетей], и выберите Создать новое правило.
_images/rulename1.png

  1. На вкладке IP адреса и сети укажите диапазон IP-адресов, используемых во внутренней сети.
_images/IP_addresses_and_networks1.png

Примечание

В качестве диапазона указывается IP-сеть, расположенная со стороны LAN-адаптера Traffic Inspector. В нашем примере, используется IP-сеть 192.168.137.0/24. Мы указываем диапазон 192.168.137.2 - 192.168.137.254, так как IP-адрес 192.168.137.1 присвоен LAN-адаптеру Traffic Inspector, а IP-адрес 192.168.137.255 является широковещательным и не используется клиентскими машинами.


  1. На вкладке Аутентификация установите флаг Basic:
_images/auth2.png

Примечание

C выбранного диапазона аутентификация будет вестись только по учетным записям Traffic Inspector. В такой ситуации, метод аутентификации NTLM можно выключить.


  1. На вкладке Тип сети выберите Смешанный режим.
_images/network_type1.png

  1. На вкладке Настройки пользователя укажите настройки аутентификации в соответствии со скриншотом.
_images/user_settings2.png

  1. Убедитесь, что в разделе Правила сетей, созданное правило регистрация_по_сетевой_активности находится выше правила All IP addresses.
_images/rule_order2.png

  1. Когда неаутентифицированный пользователь обратится в Интернет, он будет перенаправлен на веб-портал Traffic Inspector.
_images/redirection_message1.png

  1. Веб-портал всегда предлагает пользователю аутентифицироваться, потому что аутентификация пользователя случается гораздо чаще чем регистрация. Поскольку, нам нужно именно зарегистрироваться, то мы щелкаем на ссылку Зарегистрироваться.
_images/register_link.png

  1. В следующем окне необходимо задать параметры добавляемого пользователя.

Указывается отображаемое имя пользователя, имя учетной записи (лучше, если оно будет совпадать с отображаемым именем пользователя), пароль и подтверждение пароля.

_images/register_window.png

В процессе регистрации, для пользователя создается учетная запись на шлюзе Traffic Inspector. После регистрации, пользователь сможет аутентифицироваться, использую ранее зарегистрированный аккаунт.