Поздравления! Добре дошли в осмия урок от курса , за и В уроците се запознахме с основните профили за сигурност, сега можем да пуснем потребителите в интернет, да ги предпазим от вируси, да ограничим достъпа до уеб ресурси и приложения. Сега възниква въпросът за администрирането на потребителските записи. Как да осигурим достъп до Интернет само на определена група потребители? Как може на една група потребители да бъде забранено да посещава определени уебсайтове, докато на друга може да бъде разрешено? Как да интегрирате съществуващи решения за наблюдение на потребителски записи със защитната стена на FortiGate? Днес ще обсъдим тези въпроси и ще се опитаме да направим всичко на практика.
Първо, нека разгледаме методите за удостоверяване, които FortiGate поддържа.По същество има два от тях - локален и отдалечен.
Локалният метод е най-простият метод за удостоверяване. В този случай потребителските данни се съхраняват локално на FortiGate. Местните потребители могат да се комбинират в групи. И на базата на потребители или групи, диференцирайте достъпа до различни ресурси.
Когато се използва отдалечено удостоверяване, потребителите се удостоверяват от отдалечени сървъри. Този метод е полезен, когато няколко FortiGates трябва да удостоверят едни и същи потребители или когато вече има сървър за удостоверяване в мрежата.
Когато отдалечен сървър удостоверява потребителите, FortiGate изпраща въведените от потребителя идентификационни данни на този сървър. Този сървър от своя страна проверява дали такива идентификационни данни присъстват в неговата база данни. Ако да, потребителят е успешно удостоверен в системата.
Струва си да се обърне внимание на факта, че в този случай потребителските идентификационни данни не се съхраняват на FortiGate, а самият процес на удостоверяване се извършва на отдалечен сървър.
Също така си струва да споменем механизма за единично влизане на Fortinet. Позволява ви да организирате прозрачно удостоверяване на потребители на домейн на FortiGate, като използвате данни от домейн контролери. За съжаление, разглеждането на този механизъм е извън обхвата на нашия курс.
FortiGate поддържа много видове сървъри за удостоверяване като POP3, RADIUS, LDAP, TACAS+. Ще разгледаме работата с LDAP сървър.
Видеото обхваща основната теория, както и работата с локални потребители и LDAP сървъра.
В следващия урок ще разгледаме работата с регистрационни файлове, по-специално ще разгледаме възможностите на решението FortiAnalyzer. За да не го пропуснете, следете актуализациите на следните канали:
Източник: www.habr.com