Salutacions! Benvinguts a la vuitena lliçó del curs . Encès и A les lliçons ens vam familiaritzar amb els perfils bàsics de seguretat, ara podem alliberar usuaris a Internet, protegint-los de virus, limitant l'accés als recursos i aplicacions web. Ara sorgeix la pregunta sobre l'administració dels registres d'usuari. Com proporcionar accés a Internet només a un determinat grup d'usuaris? Com es pot prohibir que un grup d'usuaris visiti determinats llocs web, mentre que un altre se'n pot permetre? Com integrar les solucions de control de registres d'usuari existents amb el tallafoc FortiGate? Avui parlarem d'aquests temes i intentarem fer-ho tot a la pràctica.
En primer lloc, mirem els mètodes d'autenticació que admet FortiGate, bàsicament dos: local i remot.
El mètode local és el mètode d'autenticació més senzill. En aquest cas, les dades de l'usuari s'emmagatzemen localment al FortiGate. Els usuaris locals es poden combinar en grups. I en funció dels usuaris o grups, diferenciar l'accés a diversos recursos.
Quan s'utilitza l'autenticació remota, els usuaris s'autentiquen mitjançant servidors remots. Aquest mètode és útil quan diversos FortiGates necessiten autenticar els mateixos usuaris, o quan ja hi ha un servidor d'autenticació a la xarxa.
Quan un servidor remot autentica usuaris, FortiGate envia les credencials introduïdes per l'usuari a aquest servidor. Aquest servidor, al seu torn, comprova si aquestes credencials estan presents a la seva base de dades. En cas afirmatiu, l'usuari s'ha autenticat correctament al sistema.
Val la pena parar atenció al fet que, en aquest cas, les credencials de l'usuari no s'emmagatzemen a FortiGate i el procés d'autenticació en si es realitza en un servidor remot.
També val la pena esmentar el mecanisme Fortinet Single Sign On. Us permet organitzar l'autenticació transparent dels usuaris del domini a FortiGate mitjançant dades dels controladors de domini. Malauradament, la consideració d'aquest mecanisme està fora de l'abast del nostre curs.
FortiGate admet molts tipus de servidors d'autenticació com ara POP3, RADIUS, LDAP, TACAS+. Veurem treballar amb un servidor LDAP.
El vídeo cobreix la teoria bàsica, així com el treball amb usuaris locals i el servidor LDAP.
A la lliçó següent analitzarem el treball amb registres, en particular veurem les capacitats de la solució FortiAnalyzer. Per no perdre'l, seguiu les actualitzacions als següents canals:
Font: www.habr.com