Come configurare Kerio Control integrato con Active Directory?
Kerio Control si integra perfettamente con Active Directory e supporta l'autenticazione NTLM. Ciò significa che gli utenti definiti in AD possono essere gli stessi che KWF utilizza per garantire o negare gli accessi, con un gran risparmio di tempo ed un'estrema semplificazione delle operazioni di gestione.
Querta piccola guida da per scontato che si abbia a disposizione un dominio NT o AD e che se ne conosca il funzionamento di base.
Le macchine coinvolte in questa configurazione di esempio sono tre:
1) Il controller di dominio NT o AD;
2) Il firewall, computer, server o appliance con Kerio Control installato e configurato come gateway della rete;
3) un computer client collegato nella rete locale e che sarà utilizzato per le prove di accesso.
Configurazione del dominio
1) Installate e configurate il vostro server di dominio;
2) Inserite il computer che ospiterà KWF nel dominio;
3) Installate KWF sul computer (nota bene: KWF deve girare come servizio o come applicazione di un utente con diritti amministrativi sul computer locale);
4) Dal computer collegate l'utente (sempre con diritti amministrativi) al dominio e non solo al computer locale.
Configurazione di Kerio Control
Prima di tutto è molto importante ricordare che la macchina con KWF deve utilizzare il server di dominio come server DNS (quest'ultimo farà riferimento a server esterni per la risoluzione di nomi non locali). Nelle impostazioni delle schede di rete, quindi, indicheremo il numero di IP sulla LAN del server controller di dominio come server DNS. Poi procederemo alla configurazione di KWF:
1) Collegatevi a KWF per mezzo della consolle di amministrazione;
2) Verificate che sia presente una regola di traffico che permetta il traffico generato dai servizi NetBIOS-DGM and NetBIOS-SSN tra il firewall ed il controller di dominio;
3) Nelle impostazioni relative all'autenticazione degli utenti (Utenti e Gruppi -> Gli utenti -> Opzioni di autenticazione) spuntate le voci Richiedi sempre autenticazione utenti per l'accesso alle pagine web e Abilita automaticamente autenticazione utente eseguita dai browser web;
4) In Configurazione -> Filtraggio contenuti -> Criteri HTTP create una regola con le seguenti impostazioni:
Se l'utente che accede al web è: ogni utente;
non richiede autenticazione: spuntato
E l'URL corrisponde ai criteri: *
Azione: Consenti accesso al sito web
Dopo aver eseguito i test potrete definire regole più restrittive.
Autenticazione utenti
A questo punto è necessario far conoscere a KWF gli utenti di Active Directory. Sempre tramite la consolle di amministrazione, torniamo alle impostazioni relative all'autenticazione degli utenti tramite Active Directory (Utenti e Gruppi -> Gli utenti -> Active Directory®) e, dopo aver spuntato la voce Mappa account utenti dal dominio Active Directory® a Kerio Control, indicheremo il nome a dominio e le credenziali (Username e Password) di un utente che, sul controller di dominio, abbia le autorizzazioni necessarie a leggere il database degli utenti (solitamente un utente del gruppo Administrators).
Per mantenere piena compatibilità con tutti gli ambienti client, dovremo anche spuntare la voce Abilita autenticazione dominio Windows NT® per questo dominio ed indicare il nome del dominio NT.
Dopo aver applicato, nella pagina Account utenti, oltre alla voce Database utenti locali troveremo anche il nostro dominio e se tutto è stato configurato correttamente (e se il controller di dominio è raggiungibile) in pochi istanti vedremo apparire gli utenti presenti in AD.
Conclusione
Congratulazioni. Ora l'autenticazione automatica con NTLM dovrebbe essere configurata e dovreste vedere i vostri utenti automaticamente connessi quando accedono a siti web esterni (Stato -> Host attivi).
Risoluzione dei problemi più comuni
1) Al lancio di Internet Explorer appare una finestra di dialogo che richiede l'autenticazione.
Controllate che il nome della macchina firewall sia correttamente impostato in Configurazione -> Opzioni avanzate, alla pagina Interfaccia Web/SSL-VPN e che tale nome sia risolto correttamente sulla rete locale. Inserire qui il numero IP non risolverà il problema: deve essere indicato il nome.
2) Il browser propone una pagina web Kerio con richiesta di autenticazione.
Se state utilizzando Firefox operate come segue:
Scrivete about:config nella barra dell'indirizzo del browser
Cercate l'opzione network.automatic-ntlm-auth.trusted-uris
Impostate come valore dell'opzione il nome del firewall sulla rete locale (nota bene: il nome, non l'indirizzo IP!)
Se state utilizzando Internet Explorer allora verificate bene tutti i passaggi che abbiamo riportato sopra, poi verificate anche i log di Kerio Control per capire la natura del problema.
Per ottenere i log che servono, oltre a quelli disponibili in Registri -> Error, Security e Warning, nella finestra dei registri di Debug fate click con il destro e scegliete il menù Messaggi...; nella finestra che apparirà selezionate con una spunta le voci Accounting -> Activities e Accounting -> User authentication. (Ricordatevi di togliere le spunte quando non serviranno più questi log... risparmierete spazio disco).
Torna all'elenco f.a.q.
Updates e Supporto