Kerio Control vs Active Directory

Как я уже говорил, у меня возникла необходимость использовать Kerio Control 7.4 beta в качестве шлюза, а вернее даже полноценного UTM.

Но т.к. без контроля трафика пользователей UTM не UTM решено было разрешить Kerio брать пользователей из домена Active Directory.

Скажу сразу, потратил я на эту процедуру времени больше чем ожидал, даже пришлось набрать Влада Радецкого, который несмотря на то что был в отпуске дал мне несколько дельных советов.

Не буду рассказывать что я читал в логах, сколько вариантов я перепробовал, а сразу покажу результат, который работает:

  1. Вводим сервер в домен (я использую Windows Server 2008R2 т.к. не доверяю всему, что сделано на Linux).

Я до последнего был против, и версию 7.3 я прикрутил к домену без ввода сервера из DMZ в домен, но с 7.4 так не вышло.

  1. В дополнительных настройках снимаем чекбокс “Использовать шифрованное подключение”:

Не знаю почему, но это помогло, хотя остальные приложения отлично используют только шифрованные соединения.

  1. Ну и расставляем еще 2 чекбокса (по-умолчанию оно работать не захотело):

Теперь с доменом оно работает, ничего не отваливается (как это периодически случалось у WinRoute), но для продакшен-среды я бы не советовал использовать такой вариант, лучше уже версию 7.3 или какой-то из вариантов на Linux.

Ну а совсем правильно это Forefront  TMG 😉

UPD  Переодически оно все же отваливается, вне зависимости от версии, помогает перезагрузка клиента, а если нет, то перезагрузка сервера Kerio Control.

Диагностировать это поможет лог Debug в котором нужно включить Accounting User authentication и User database:

Снимок экрана 2013-01-19 в 18.38.44

Нормальный вид лога при удачном входе пользователя:

Снимок экрана 2013-01-19 в 18.54.48

Нормальный вид лога при работе уже аутентифицированных пользователей либо при простое:

Снимок экрана 2013-01-19 в 19.59.50

Спустя 3 месяца у меня было несколько успешных проетов на Kerio Cointrol, и на сегодняшний день ситуация следующая:

Используется домен на платформе Windows Server  2012 (домен и лес на уровне 2012) , Kerio Control 7.4.1 build 5051 (Virtual Applience for Hyper-V) и шифрованное подключение к домену работает:

Снимок экрана 2013-01-13 в 18.26.47

После обновления до 8й версии шифрованное соединение также работает корректно.

Вот такие дела =)

2 thoughts on “Kerio Control vs Active Directory

  1. А еще я бы снял галку в пункте “Microsoft Active Directory cooperation” поставил бы “Only authe….” если у Вас не все пользователи должны получать доступ к интернету, иначе если Вы импортируете пользователя, даете ему что то, то те у кого будет доступ для авторизации сможет по доменному имени тоже зайти, при этом у него будут неограниченные права. А если поставить чекбокс на второй пункт, то будет только авторизация, даммыне пользователи не смогу авторизоваться по имени user@domain

    • Сергей, спасибо за комментарий, он весьма полезен.
      Но в моем случае необходимы были именно такие настройки =)

Leave a Reply

Your email address will not be published. Required fields are marked *