Grüße! Willkommen zur achten Lektion des Kurses . Auf и In den Lektionen haben wir uns mit den grundlegenden Sicherheitsprofilen vertraut gemacht. Jetzt können wir Benutzer für den Zugriff auf das Internet freigeben, sie vor Viren schützen und den Zugriff auf Webressourcen und Anwendungen einschränken. Nun stellt sich die Frage nach der Verwaltung von Benutzerdatensätzen. Wie kann nur einer bestimmten Gruppe von Benutzern der Internetzugang bereitgestellt werden? Wie kann einer Benutzergruppe der Besuch bestimmter Websites untersagt und einer anderen Gruppe gestattet werden? Wie integriere ich bestehende Lösungen zur Überwachung von Benutzerdatensätzen in die FortiGate-Firewall? Heute werden wir diese Fragen besprechen und versuchen, alles in die Praxis umzusetzen.
Schauen wir uns zunächst die Authentifizierungsmethoden an, die FortiGate unterstützt. Im Wesentlichen gibt es zwei davon – lokal und remote.
Die lokale Methode ist die einfachste Authentifizierungsmethode. In diesem Fall werden die Benutzerdaten lokal auf dem FortiGate gespeichert. Lokale Benutzer können zu Gruppen zusammengefasst werden. Und differenzieren Sie den Zugriff auf verschiedene Ressourcen auf der Grundlage von Benutzern oder Gruppen.
Bei Verwendung der Remote-Authentifizierung werden Benutzer von Remote-Servern authentifiziert. Diese Methode ist nützlich, wenn mehrere FortiGates dieselben Benutzer authentifizieren müssen oder wenn bereits ein Authentifizierungsserver im Netzwerk vorhanden ist.
Wenn ein Remote-Server Benutzer authentifiziert, sendet FortiGate die vom Benutzer eingegebenen Anmeldeinformationen an diesen Server. Dieser Server wiederum prüft, ob solche Anmeldeinformationen in seiner Datenbank vorhanden sind. Wenn ja, wurde der Benutzer erfolgreich im System authentifiziert.
Es ist zu beachten, dass in diesem Fall die Benutzeranmeldeinformationen nicht auf FortiGate gespeichert werden und der Authentifizierungsprozess selbst auf einem Remote-Server stattfindet.
Erwähnenswert ist auch der Fortinet Single Sign On-Mechanismus. Es ermöglicht Ihnen, die transparente Authentifizierung von Domänenbenutzern auf FortiGate mithilfe von Daten von Domänencontrollern zu organisieren. Leider würde die Betrachtung dieses Mechanismus den Rahmen unseres Kurses sprengen.
FortiGate unterstützt viele Arten von Authentifizierungsservern wie POP3, RADIUS, LDAP, TACAS+. Wir werden uns die Arbeit mit einem LDAP-Server ansehen.
Das Video behandelt die grundlegende Theorie sowie die Arbeit mit lokalen Benutzern und dem LDAP-Server.
In der nächsten Lektion werden wir uns mit der Arbeit mit Protokollen befassen, insbesondere mit den Funktionen der FortiAnalyzer-Lösung. Um es nicht zu verpassen, verfolgen Sie die Updates auf den folgenden Kanälen:
Source: habr.com