Развертывание службы идентификации пользователей

Служба идентификации пользователей предоставляет Kaspersky NGFW информацию о подключенных к решению пользователях и группах пользователей, что позволяет настраивать политики и правила Kaspersky NGFW для конкретных пользователей и групп пользователей. Служба в автоматическом режиме определяет, какому пользователю принадлежит тот или иной IP-адрес в сети, и передает эту информацию в сетевой экран для применения политик доступа, основанных на учетных данных.

Если в политике межсетевого экрана указана не отдельная учетная запись, а группа пользователей, система выполняет раскрытие этой группы: получает полный список всех входящих в нее пользователей, включая вложенные группы. Для каждого из этих пользователей определяется его текущий IP-адрес, после чего формируется актуальный набор соответствий "пользователь – IP-адрес". Этот набор используется при принятии решений о разрешении или блокировке трафика в соответствии с заданными правилами фильтрации.

Для использования функциональности идентификации пользователей в Kaspersky NGFW вам необходимо развернуть службу идентификации пользователей.

Служба идентификации пользователей включает следующие компоненты:

• Компонент сборки событий (далее также Collector) считывает и фильтрует события о действиях пользователей из журнала событий Windows контроллера домена в соответствии с параметрами фильтрации, заданными в конфигурации, анализирует входы пользователей и перенаправляет эту информацию в компонент обработки событий.
• Компонент обработки событий (далее также MapApp) принимает информацию, полученную от компонента сборки событий, обрабатывает ее с учетом параметров, заданных в конфигурации, и преобразовывает в список пользователей, выполнивших вход в домен и активных в текущий момент, формируя карту пользовательских сессий. Этот компонент отвечает на запросы от Kaspersky NGFW и предоставляет необходимую информацию о пользователях.
• Компонент обработки групп пользователей (далее также GroupApp) получает от контроллера домена и сохраняет информацию о составе групп LDAP-пользователей и преобразовывает эту информацию в списки пользователей, входящих в LDAP-группы, запрашиваемые Kaspersky NGFW.

Компоненты службы идентификации пользователей поставляются в виде Docker-контейнеров и входят в комплект поставки Kaspersky NGFW.

Взаимодействие с компонентами службы идентификации пользователей происходит через REST API по протоколу HTTPS.

Предварительные требования

Минимальные аппаратные требования к устройству для развертывания службы идентификации пользователей:

• 4 CPU;
• объем оперативной памяти: 8 ГБ;
• свободное пространство на жестком диске: 50 ГБ.

На устройстве должна быть установлена операционная система Astra Linux версии 1.8 или Ubuntu 22.04, а также установлены следующие приложения:

• PostgreSQL версии 15 для ведения баз данных пользователей. Подробнее о PostgreSQL см. на официальном веб-сайте.
• Docker и Docker Compose для работы с Docker-контейнерами компонентов службы идентификации пользователей. Подробнее о Docker см. на официальном веб-сайте.

Этапы

Сценарий развертывания службы идентификации пользователей состоит из следующих этапов:

1. Создание сертификатов

   Выпустите сертификаты для работы через API компонентов службы идентификации пользователей и для подключения к контроллерам домена Microsoft Active Directory.

2. Создание баз данных пользователей

   Создайте базы данных пользователей и групп пользователей через PostgreSQL для компонентов обработки событий и обработки групп пользователей.

3. Подготовка файлов конфигурации для компонентов службы идентификации пользователей

   Создайте и подготовьте отдельные файлы конфигурации для запуска Docker-контейнера каждого из компонентов службы идентификации пользователей.

4. Запуск компонентов службы идентификации пользователей

   Запустите Docker-контейнеры для компонентов службы идентификации пользователей, используя подготовленные файлы конфигурации.

5. Настройка удаленного подключения к контроллеру домена

   Настройте подключение по WinRM по протоколу HTTPS на контроллере домена Microsoft Active Directory.

В этом разделе О данных, сохраняемых службой идентификации пользователей Создание сертификатов Создание баз данных пользователей Подготовка файлов конфигурации компонентов Запуск компонентов службы идентификации пользователей Настройка удаленного управления контроллером домена через WinRM

В начало