Vær hilset! Velkommen til kursets ottende lektion . på и I lektionerne stiftede vi bekendtskab med de grundlæggende sikkerhedsprofiler, nu kan vi frigive brugere til internettet, beskytte dem mod virus, begrænse adgangen til webressourcer og applikationer. Nu opstår spørgsmålet om administration af brugerregistreringer. Hvordan giver man internetadgang til kun en bestemt gruppe brugere? Hvordan kan en gruppe af brugere forbydes at besøge bestemte websteder, mens en anden kan tillades? Hvordan integrerer man eksisterende løsninger til overvågning af brugerregistreringer med FortiGate firewall? I dag vil vi diskutere disse spørgsmål og prøve at gøre alt i praksis.
Lad os først se på de godkendelsesmetoder, som FortiGate understøtter. Der er i det væsentlige to af dem - lokale og fjerntliggende.
Den lokale metode er den enkleste godkendelsesmetode. I dette tilfælde gemmes brugerdata lokalt på FortiGate. Lokale brugere kan kombineres i grupper. Og på grundlag af brugere eller grupper, differentiere adgangen til forskellige ressourcer.
Når der bruges fjerngodkendelse, godkendes brugerne af fjernservere. Denne metode er nyttig, når flere FortiGates skal godkende de samme brugere, eller når der allerede er en godkendelsesserver på netværket.
Når en ekstern server godkender brugere, sender FortiGate de brugerindtastede legitimationsoplysninger til denne server. Denne server kontrollerer til gengæld, om sådanne legitimationsoplysninger er til stede i dens database. Hvis ja, er brugeren blevet godkendt i systemet.
Det er værd at være opmærksom på, at i dette tilfælde gemmes brugerlegitimationsoplysninger ikke på FortiGate, og selve godkendelsesprocessen foregår på en fjernserver.
Det er også værd at nævne Fortinet Single Sign On-mekanismen. Det giver dig mulighed for at organisere gennemsigtig godkendelse af domænebrugere på FortiGate ved hjælp af data fra domænecontrollere. Desværre ligger overvejelse af denne mekanisme uden for rammerne af vores kursus.
FortiGate understøtter mange typer godkendelsesservere såsom POP3, RADIUS, LDAP, TACAS+. Vi vil se på at arbejde med en LDAP-server.
Videoen dækker den grundlæggende teori, samt arbejdet med lokale brugere og LDAP-serveren.
I den næste lektion vil vi se på arbejdet med logs, især vil vi se på mulighederne i FortiAnalyzer-løsningen. For ikke at gå glip af det, følg opdateringerne på følgende kanaler:
Kilde: www.habr.com