Pozdravy! Vítejte u osmé lekce kurzu . Na и V lekcích jsme se seznámili se základními bezpečnostními profily, nyní můžeme uvolnit uživatele na internet, chránit je před viry, omezovat přístup k webovým zdrojům a aplikacím. Nyní vyvstává otázka správy uživatelských záznamů. Jak zajistit přístup k internetu pouze určité skupině uživatelů? Jak může být jedné skupině uživatelů zakázáno navštěvovat určité webové stránky, zatímco jiné mohou být povoleny? Jak integrovat stávající řešení monitorování uživatelských záznamů s firewallem FortiGate? Dnes si tyto otázky probereme a pokusíme se vše udělat v praxi.
Nejprve se podívejme na metody autentizace, které FortiGate podporuje, jsou v podstatě dvě – lokální a vzdálená.
Místní metoda je nejjednodušší metodou ověřování. V tomto případě jsou uživatelská data uložena lokálně na FortiGate. Místní uživatele lze sdružovat do skupin. A na základě uživatelů nebo skupin rozlišovat přístup k různým zdrojům.
Při použití vzdáleného ověřování jsou uživatelé ověřováni vzdálenými servery. Tato metoda je užitečná, když více FortiGate potřebuje autentizovat stejné uživatele, nebo když už je v síti ověřovací server.
Když vzdálený server autentizuje uživatele, FortiGate odešle uživateli zadané přihlašovací údaje na tento server. Tento server zase kontroluje, zda jsou takové přihlašovací údaje přítomny v jeho databázi. Pokud ano, uživatel je úspěšně autentizován do systému.
Je třeba věnovat pozornost skutečnosti, že v tomto případě nejsou přihlašovací údaje uživatele uloženy na FortiGate a samotný proces ověřování probíhá na vzdáleném serveru.
Za zmínku stojí i mechanismus Fortinet Single Sign On. Umožňuje organizovat transparentní ověřování uživatelů domény na FortiGate pomocí dat z doménových řadičů. Zvažování tohoto mechanismu bohužel přesahuje rámec našeho kurzu.
FortiGate podporuje mnoho typů autentizačních serverů jako POP3, RADIUS, LDAP, TACAS+. Podíváme se na práci se serverem LDAP.
Video pokrývá základní teorii i práci s místními uživateli a serverem LDAP.
V další lekci se podíváme na práci s logy, konkrétně se podíváme na možnosti řešení FortiAnalyzer. Abyste to nezmeškali, sledujte aktualizace na následujících kanálech:
Zdroj: www.habr.com