Χαιρετίσματα! Καλώς ήρθατε στο όγδοο μάθημα του μαθήματος . επί и Στα μαθήματα που γνωρίσαμε τα βασικά προφίλ ασφαλείας, τώρα μπορούμε να απελευθερώσουμε τους χρήστες στο Διαδίκτυο, προστατεύοντάς τους από ιούς, περιορίζοντας την πρόσβαση σε πόρους και εφαρμογές Ιστού. Τώρα τίθεται το ερώτημα σχετικά με τη διαχείριση των αρχείων χρηστών. Πώς να παρέχετε πρόσβαση στο Διαδίκτυο μόνο σε μια συγκεκριμένη ομάδα χρηστών; Πώς μπορεί να απαγορεύεται σε μια ομάδα χρηστών να επισκέπτεται συγκεκριμένους ιστότοπους, ενώ σε μια άλλη μπορεί να επιτρέπεται; Πώς να ενσωματώσετε υπάρχουσες λύσεις παρακολούθησης αρχείων χρήστη με το τείχος προστασίας FortiGate; Σήμερα θα συζητήσουμε αυτά τα θέματα και θα προσπαθήσουμε να κάνουμε τα πάντα στην πράξη.
Αρχικά, ας δούμε τις μεθόδους ελέγχου ταυτότητας που υποστηρίζει το FortiGate. Υπάρχουν ουσιαστικά δύο από αυτές - τοπικές και απομακρυσμένες.
Η τοπική μέθοδος είναι η απλούστερη μέθοδος ελέγχου ταυτότητας. Σε αυτήν την περίπτωση, τα δεδομένα χρήστη αποθηκεύονται τοπικά στο FortiGate. Οι τοπικοί χρήστες μπορούν να συνδυαστούν σε ομάδες. Και με βάση τους χρήστες ή τις ομάδες, διαφοροποιήστε την πρόσβαση σε διάφορους πόρους.
Όταν χρησιμοποιείται απομακρυσμένος έλεγχος ταυτότητας, οι χρήστες ελέγχονται από απομακρυσμένους διακομιστές. Αυτή η μέθοδος είναι χρήσιμη όταν πολλά FortiGates χρειάζονται έλεγχο ταυτότητας των ίδιων χρηστών ή όταν υπάρχει ήδη διακομιστής ελέγχου ταυτότητας στο δίκτυο.
Όταν ένας απομακρυσμένος διακομιστής ελέγχει την ταυτότητα των χρηστών, το FortiGate στέλνει τα διαπιστευτήρια που έχουν εισαχθεί από τον χρήστη σε αυτόν τον διακομιστή. Αυτός ο διακομιστής, με τη σειρά του, ελέγχει εάν τέτοια διαπιστευτήρια υπάρχουν στη βάση δεδομένων του. Εάν ναι, ο χρήστης ελέγχεται επιτυχώς στο σύστημα.
Αξίζει να δοθεί προσοχή στο γεγονός ότι σε αυτήν την περίπτωση, τα διαπιστευτήρια χρήστη δεν αποθηκεύονται στο FortiGate και η ίδια η διαδικασία ελέγχου ταυτότητας πραγματοποιείται σε έναν απομακρυσμένο διακομιστή.
Αξίζει επίσης να αναφέρουμε τον μηχανισμό Fortinet Single Sign On. Σας επιτρέπει να οργανώνετε διαφανή έλεγχο ταυτότητας χρηστών τομέα στο FortiGate χρησιμοποιώντας δεδομένα από ελεγκτές τομέα. Δυστυχώς, η εξέταση αυτού του μηχανισμού είναι πέρα από το πεδίο της πορείας μας.
Το FortiGate υποστηρίζει πολλούς τύπους διακομιστών ελέγχου ταυτότητας όπως POP3, RADIUS, LDAP, TACAS+. Θα εξετάσουμε την εργασία με έναν διακομιστή LDAP.
Το βίντεο καλύπτει τη βασική θεωρία, καθώς και τη συνεργασία με τοπικούς χρήστες και τον διακομιστή LDAP.
Στο επόμενο μάθημα θα εξετάσουμε την εργασία με αρχεία καταγραφής, συγκεκριμένα θα εξετάσουμε τις δυνατότητες της λύσης FortiAnalyzer. Για να μην το χάσετε, ακολουθήστε τις ενημερώσεις στα παρακάτω κανάλια:
Πηγή: www.habr.com