Вітаю! Сардэчна запрашаем на восьмы ўрок курса . На и уроках мы пазнаёміліся з асноўнымі профілямі бяспекі, зараз мы можам выпускаць карыстальнікаў у Інтэрнэт, абараняючы іх ад вірусаў, размяжоўваючы доступ да вэб рэсурсаў і прыкладанням. Цяпер устае пытанне аб адміністраванні карыстацкіх запісаў. Як забяспечыць доступ у Інтэрнет толькі пэўнай групе карыстальнікаў? Як адной групе карыстальнікаў забараніць наведваць пэўныя вэб сайты, а іншы дазволіць? Як сінтэграваць існуючыя рашэнні па кантролі карыстацкіх запісаў з міжсеткавым экранам FortiGate? Сёння мы абмяркуем гэтыя пытанні і пастараемся зрабіць усё на практыцы.
Для пачатку разгледзім метады аўтэнтыфікацыі, якія падтрымлівае FortiGate, Іх па ісце два – лакальны і выдалены.
Лакальны метад з'яўляецца найпростым метадам аўтэнтыфікацыі. У такім разе дадзеныя аб карыстачы захоўваюцца лакальна на FortiGate. Лакальных карыстальнікаў можна аб'ядноўваць у групы. І на аснове карыстальнікаў або груп размяжоўваць доступ да розных рэсурсаў.
Калі выкарыстоўваецца выдаленая аўтэнтыфікацыя, карыстачоў аўтэнтыфікуюць выдаленыя серверы. Гэты метад карысны, калі некалькім FortiGate неабходна аўтэнтыфікаваць адных і тых жа карыстачоў, ці ж у тым выпадку, калі ў сетцы ўжо прысутнічае сервер аўтэнтыфікацыі.
Калі выдалены сервер аўтэнтыфікуе карыстачоў, FortiGate адпраўляе на гэты сервер уведзеныя карыстачом уліковыя дадзеныя. Дадзены сервер у сваю чаргу правярае, ці прысутнічаюць такія ўліковыя дадзеныя ў яго базе. Калі так, карыстач паспяхова аўтэнтыфікуецца ў сістэме.
Варта звярнуць увагу на тое, што ў такім разе ўліковыя дадзеныя карыстачоў не захоўваюцца на FortiGate, а сам працэс аўтэнтыфікацыі праходзіць на выдаленым серверы.
Варта таксама згадаць аб механізме Fortinet Single Sign On. Ён дазваляе арганізаваць празрыстую аўтэнтыфікацыю карыстальнікаў дамена на FortiGate, выкарыстоўваючы дадзеныя з кантролераў дамена. На жаль, разгляд гэтага механізма выходзіць за рамкі нашага курса.
FortiGate падтрымлівае мноства тыпаў сервераў аўтэнтыфікацыі, такіх як POP3, RADIUS, LDAP, TACAS+. Мы ж разгледзім працу з LDAP серверам.
У відэа разгледжана асноўная тэорыя, а таксама праца з лакальнымі карыстачамі і LDAP серверам.
У наступным уроку мы разгледзім працу з логамі, у прыватнасці разгледзім магчымасці рашэння FortiAnalyzer. Каб не прапусціць яго, сачыце за абнаўленнямі на наступных каналах:
Крыніца: habr.com