ProHoster > Blog > administration > 10. Check Point Kom godt i gang R80.20. Identitetsbevidsthed

10. Check Point Kom godt i gang R80.20. Identitetsbevidsthed

10. Check Point Kom godt i gang R80.20. Identitetsbevidsthed

Velkommen til jubilæet - 10. lektion. Og i dag vil vi tale om en anden Check Point-klinge - Identitetsbevidsthed. Allerede i begyndelsen, da vi beskrev NGFW, fastslog vi, at det skal være i stand til at regulere adgangen baseret på konti, ikke IP-adresser. Det skyldes primært brugernes øgede mobilitet og den udbredte udbredelse af BYOD-modellen – medbring din egen enhed. Der kan være mange mennesker i en virksomhed, der forbinder via WiFi, modtager en dynamisk IP og endda fra forskellige netværkssegmenter. Prøv at oprette adgangslister baseret på IP-numre her. Her kan du ikke undvære brugeridentifikation. Og det er Identity Awareness-bladet, der vil hjælpe os i denne sag.

Men lad os først finde ud af, hvad brugeridentifikation oftest bruges til?

  1. At begrænse netværksadgang af brugerkonti i stedet for af IP-adresser. Adgangen kan reguleres både enkelt til internettet og til andre netværkssegmenter, for eksempel DMZ.
  2. Adgang via VPN. Enig i, at det er meget mere bekvemt for brugeren at bruge sin domænekonto til autorisation i stedet for en anden opfundet adgangskode.
  3. For at administrere Check Point skal du også have en konto, der kan have forskellige rettigheder.
  4. Og det bedste er at rapportere. Det er meget pænere at se specifikke brugere i rapporter i stedet for deres IP-adresser.

Samtidig understøtter Check Point to typer konti:

  • Lokale interne brugere. Brugeren oprettes i administrationsserverens lokale database.
  • Eksterne brugere. Microsoft Active Directory eller enhver anden LDAP-server kan fungere som en ekstern brugerbase.

I dag vil vi tale om netværksadgang. For at kontrollere netværksadgang, i nærværelse af Active Directory, den såkaldte Adgangsrolle, som tillader tre brugermuligheder:

  1. Netværk - dvs. netværket, som brugeren forsøger at oprette forbindelse til
  2. AD-bruger eller brugergruppe — disse data trækkes direkte fra AD-serveren
  3. Maskine - arbejdsstation.

I dette tilfælde kan brugeridentifikation udføres på flere måder:

  • AD-forespørgsel. Check Point læser AD-serverlogfilerne for godkendte brugere og deres IP-adresser. Computere, der er i AD-domænet, identificeres automatisk.
  • Browser-baseret godkendelse. Identifikation gennem brugerens browser (Captive Portal eller Transparent Kerberos). Bruges oftest til enheder, der ikke er i et domæne.
  • Terminalservere. I dette tilfælde udføres identifikation ved hjælp af en speciel terminalagent (installeret på terminalserveren).

Dette er de tre mest almindelige muligheder, men der er tre mere:

  • Identitetsagenter. En speciel agent er installeret på brugernes computere.
  • Identitetssamler. Et separat hjælpeprogram, der er installeret på Windows Server og indsamler godkendelseslogfiler i stedet for gatewayen. Faktisk en obligatorisk mulighed for et stort antal brugere.
  • RADIUS Regnskab. Nå, hvor ville vi være uden den gode gamle RADIUS.

I denne tutorial vil jeg demonstrere den anden mulighed - Browser-baseret. Jeg tror, ​​teori er nok, lad os gå videre til praksis.

Video lektion

Følg med for mere og deltag i vores YouTube-kanal 🙂

Kilde: www.habr.com

Tilføj en kommentar