Настройка проверки имен доменов
13 декабря 2023
ID 189886
Рекомендуется включить проверку имен доменов, чтобы обеспечить корректное применение правил обработки трафика, а также критериев принадлежности пользователей к рабочим областям. Вы можете отключить проверку имен доменов, если в вашей организации доменные имена пользователей сохранены в параметрах браузеров с пустой доменной частью или в формате, не поддерживаемом программой.
Разные форматы доменных имен получаются из комбинаций следующих элементов учетной записи:
- NETBIOS-имя – уникальное имя домена, представляющее собой 16-байтовый адрес для идентификации в локальной сети.
- DNS-имя – имя домена, которое включает в себя имена всех родительских доменов иерархии DNS, разделенные точкой.
- sAMAccountName – имя учетной записи пользователя в формате pre-Windows 2000.
- UPN-имя (User Principal Name) – имя учетной записи пользователя, которое состоит из UPN-префикса (имени входа) и UPN-суффикса (имени домена), разделенных символом @.
По умолчанию в качестве UPN-суффикса используется DNS-имя. Вы можете указать альтернативные UPN-суффиксы и выбрать их в свойствах учетной записи вместо DNS-имени.
В оснастке Active Directory этим элементам соответствуют поля, представленные на примере ниже, где:
name– UPN-Preffix;test.local– DNS-имя;TEST– NETBIOS-имя;lastname– sAMAccountName;test.com– альтернативный UPN-суффикс.
Свойства домена и учетной записи в оснастке Active Directory
Если проверка имен доменов отключена, аутентификация пользователей осуществляется согласно таблице, представленной ниже.
Аутентификация при отключенной проверке имен доменов
Формат доменного имени | Пример | Аутентификация |
|---|---|---|
DNS-Name\sAMAccountName | test.local\lastname | Выполняется. |
NETBIOS-Name\sAMAccountName | test\lastname | Выполняется. |
UPN-Suffix\sAMAccountName | test.com\lastname | Выполняется. |
<любое значение>\sAMAccountName | <любое значение>\lastname | Выполняется. |
DNS-Name\UPN-Prefix | test.local\name | Не выполняется. |
NETBIOS-Name\UPN-Prefix | test\name | Не выполняется. |
UPN-Suffix\UPN-Prefix | test.com\name | Не выполняется. |
UPN-Prefix@DNS-Name | name@test.local | Выполняется, если в качестве UPN-префикса пользователя используется DNS-имя домена. |
UPN-Prefix@NETBIOS-Name | name@test | Не выполняется. |
UPN-Prefix@UPN-Suffix | name@test.com | Выполняется, если в качестве UPN-суффикса пользователя используется указанный UPN-суффикс. |
sAMAccountName@DNS-Name | lastname@test.local | Выполняется. |
sAMAccountName@NETBIOS-Name | lastname@test | Выполняется. |
sAMAccountName@UPN-Suffix | lastname@test.com | Не выполняется. |
Если проверка имен доменов включена, программа будет разрешать аутентификацию пользователей только при указании доменного имени в поддерживаемом формате. В этом случае программа сможет корректно распознать пользователя и применить заданные параметры правил обработки трафика и рабочих областей.
Форматы доменных имен, поддерживаемые программой в текущей версии, а также в версии 6.0, представлены в таблице ниже.
Форматы поддерживаемых доменных имен
Формат | Пример | Поддержка в версии 6.0 |
|---|---|---|
NETBIOS\sAMAccountName | TEST\lastname | Да |
sAMAccountName@NETBIOS | lastname@TEST | Нет |
sAMAccountName@DNS-Name | lastname@test.local | Да |
DNS-Name\sAMAccountName | test.local\lastname | Нет |
UPN-Prefix@UPN-Suffix | name@test.com | Нет |
Чтобы настроить проверку имен доменов, выполните следующие действия:
- В веб-интерфейсе программы выберите раздел Параметры → Встроенный прокси-сервер → Аутентификация.
- В поле NTLM перейдите по ссылке Настроить.
Откроется окно Параметры NTLM-аутентификации.
- Переведите переключатель Проверять имена доменов в положение Включено.
- В поле Разрешенные DNS/NETBIOS-имена доменов укажите разрешенное имя домена.
- Если вы хотите добавить несколько имен, нажмите на значок
и укажите имя в появившемся поле ввода. - Нажмите на кнопку Сохранить.
Прокси-сервер будет перезагружен. До завершения перезагрузки обработка трафика будет приостановлена.
Проверка имен доменов будет настроена. При попытке аутентификации с именем домена, не указанным в качестве разрешенного, прокси-сервер не будет передавать запрос на аутентификацию серверу Active Directory. Пользователю потребуется ввести учетные данные повторно.
