Авторизация |
|
Авторизация, это прежде всего решение задачи - чей это трафик? В программе поддерживаются следующие типы авторизации -
• | По сетевым адресам. Это IP, MAC, IP + MAC, диапазон IP адресов. |
• | По имени. |
• | по E-Mail-адресу получателя. Это используется в SMTP-шлюзе для учета почтового трафика клиента (см. далее). |
При авторизации по сетевым адресам клиент всегда считается авторизованным, так как его адреса заранее известны. Этот тип авторизации наиболее подходит, например, к серверам.
При авторизации по имени все несколько сложнее. Клиент для авторизации должен пройти аутентификацию.
Трафик в программе снимается 2-мя способами - с сетевого драйвера и прокси сервера (SOCKS). При соединении клиента с прокси сервером всегда имеется возможность запросить аутентификацию, протокол HTTP это поддерживает. Также это доступно для SOCKS версии 5. Но в трафике, снятом с драйвера, никакой аутентификации не подразумевается, тут для авторизации могут использоваться только сетевые адреса - IP и MAC.
Для реализации возможности авторизации по имени для любого трафика применяется принцип сквозной авторизации. Это означает, что если с какого-то IP адреса клиент прошел процедуру аутентификации, то в дальнейшем весь трафик с этого IP адреса уже относится к нему.
Как уже отмечалось, аутентификацию можно пройти по HTTP или SOCKS5, но для более общего случая предусмотрена отдельная программа - клиентский агент. Агент запускается на компьютере клиента, производит аутентификацию с сервером авторизации программы и после этого весь трафик с этого IP адреса считается авторизованным.
Сервер авторизации работает по протоколу UDP/999. Он доступен на всех IP адресах внутренних интерфейсов. Начиная с версии 1.1.5 реализована работа сервера авторизации по протоколам HTTP/SSL. Подробности смотрите в разделе, где описан веб сервер. Также имеется возможность пройти авторизацию, используя функцию API.
При авторизации по имени может использоваться аутентификация -
• | по паролю, заданному в программе. При аутентификации агентом данные тут шифруются, но для HTTP и SOCKS пароли передаются открытым текстом (тип BASIC). Клиенту может быть предоставлено право самому менять пароль через агента. |
• | интегрированная Windows аутентификация. Доступна при наличии Active Directory с Windows 2000 и выше. Поддерживается работа с несколькими доменами, а также с доверительными отношениями. При аутентификации агентом используется NTLM, а для HTTP может использоваться как NTLM, так и BASIC в зависимости от типа броузера. |
Вариант авторизации по имени наиболее предпочтителен, так как позволяет вести учет, когда несколько пользователей могут работать на одном компьютере или когда пользователь может работать на разных компьютерах - это типичная ситуация при работе в сети предприятия.
Для провайдера при подключении клиентов к сети Интернет (например домовой сети) также предпочтительна авторизация по имени, так как IP-адрес или MAC очень легко подделать. Причем тут лучше всего использовать агента, так как он для аутентификации использует методы криптозащиты. По этой причине предусмотрена возможность вообще запретить аутентификацию открытыми паролями через прокси, встроенный веб-сервер или SOCKS.
Авторизация по имени подразумевает работу одновременно только с одного IP-адреса. Попытка войти под именем клиента, который уже работает с другого IP-адреса, будет пресечена.
Также недопустима авторизация нескольких клиентов с одного IP адреса, так как нарушается принцип сквозной авторизации. Но в некоторых случаях это может потребоваться, например, при работе нескольких клиентов с сервера терминалов. Для такого случая предусмотрен запрет сквозной авторизации с определенных IP адресов. В этом режиме возможна работа только через прокси и SOCKS с обязательной аутентификацией в каждой HTTP (SOCKS) сессии.
Ограничения авторизации и контроль политики.
В качестве дополнительных ограничительных мер при авторизации по имени можно задать -
• | IP адрес или диапазон адресов, с которых допускается авторизация. |
• | MAC адрес. |
• | VLAN Id. |
Также может быть включен контроль политики авторизации - будут фиксироваться все попытки авторизации при несовпадении сетевых адресов, заданных в параметрах авторизации клиента. Эти события фиксируются в логах программы, администратор может быть оповещен по электронной почте, а подробные данные фиксируются в отдельной сетевой статистике.
В качестве предупреждающей меры клиент также может быть автоматически заблокирован на заданное время.
Если у клиента в параметрах авторизации прописан MAC и IP адрес, то может быть включено назначение статических ARP записей с стеке TCP/IP системы. Эта мера ускоряет процедуру авторизации, так как системе не надо рассылать ARP запросы по сети, а также значительно повышает безопасность сети в целом.
Программа отслеживает появление клиентов с параметрами авторизации, которые дублируют друг друга. Такое возможно при различных ошибках администратора и это позволяет исключить различные коллизии. Если авторизация по имени, но отслеживается уникальность имени, если авторизация по сетевым адресам, то по ним. Уникальность не отслеживается для клиентов в состоянии СТОП или Запрещен, что позволяет держать в списке несколько клиентов одинаковыми параметрами авторизации, но работа одновременно разрешена будет только одному.
Автоматическое добавление клиентов.
Если используется аутентификация через домен Windows, то может быть включена функция автоматического добавления клиентов. Клиенты будут добавляться, конфигурироваться и запускаться при первой попытке авторизации. Они могут добавляться как в общий список, так и в разные группы, при этом настройки у них выставляются по умолчанию. Права на автоматические добавление как в общий список, так и в группы могут быть соотнесены членству клиентов группам домена Windows.
Текущая страница справки: help.smart-soft.ru/index.html?howworkauth.htm