ProHoster > Блог > Administrado > 10. Kontrolpunkto Komencante R80.20. Identeca Konscio

10. Kontrolpunkto Komencante R80.20. Identeca Konscio

10. Kontrolpunkto Komencante R80.20. Identeca Konscio

Bonvenon al la datreveno - 10-a leciono. Kaj hodiaŭ ni parolos pri alia Check Point-klingo - Identeca Konscio. Ĉe la komenco, priskribante NGFW, ni determinis, ke ĝi devas povi reguligi aliron bazitan sur kontoj, ne IP-adresoj. Ĉi tio estas ĉefe pro la pliigita movebleco de uzantoj kaj la vasta disvastiĝo de la BYOD-modelo - alportu vian propran aparaton. Povas esti multaj homoj en firmao, kiuj konektas per WiFi, ricevas dinamikan IP, kaj eĉ de malsamaj retaj segmentoj. Provu krei alirlistojn surbaze de IP-numeroj ĉi tie. Ĉi tie vi ne povas fari sen uzantidentigo. Kaj estas la klingo de Identeca Konscio, kiu helpos nin en ĉi tiu afero.

Sed unue, ni eltrovu, por kio uzantidentigo plej ofte estas uzata?

  1. Limigi retaliron per uzantkontoj prefere ol per IP-adresoj. Aliro povas esti reguligita kaj simple al la Interreto kaj al iuj aliaj retsegmentoj, ekzemple DMZ.
  2. Aliro per VPN. Konsentu, ke estas multe pli oportune por la uzanto uzi sian domajnan konton por rajtigo, prefere ol alia inventita pasvorto.
  3. Por administri Check Point, vi ankaŭ bezonas konton, kiu povas havi diversajn rajtojn.
  4. Kaj la plej bona parto estas raportado. Estas multe pli agrable vidi specifajn uzantojn en raportoj prefere ol iliaj IP-adresoj.

Samtempe, Check Point subtenas du specojn de kontoj:

  • Lokaj Internaj Uzantoj. La uzanto estas kreita en la loka datumbazo de la administra servilo.
  • Eksteraj Uzantoj. La ekstera uzantbazo povas esti Microsoft Active Directory aŭ ajna alia LDAP-servilo.

Hodiaŭ ni parolos pri aliro al la reto. Por kontroli retan aliron, en ĉeesto de Active Directory, la tn Aliro Rolo, kiu permesas tri uzantopciojn:

  1. reto - t.e. la reto al kiu la uzanto provas konekti
  2. AD Uzanto aŭ Uzantgrupo — ĉi tiuj datumoj estas eltiritaj rekte de la AD-servilo
  3. Maŝino - laborstacio.

En ĉi tiu kazo, uzantidentigo povas esti farita laŭ pluraj manieroj:

  • AD Demando. Check Point legas la AD-servilprotokolojn por aŭtentikigitaj uzantoj kaj iliaj IP-adresoj. Komputiloj kiuj estas en la AD-domajno estas identigitaj aŭtomate.
  • Retumilo-Bazita Aŭtentigo. Identigo per la retumilo de la uzanto (Captive Portal aŭ Transparent Kerberos). Plej ofte uzata por aparatoj kiuj ne estas en domajno.
  • Terminalaj Serviloj. En ĉi tiu kazo, identigo estas farita per speciala terminala agento (instalita sur la terminalservilo).

Ĉi tiuj estas la tri plej oftaj ebloj, sed estas tri pliaj:

  • Identecaj Agentoj. Speciala agento estas instalita sur la komputiloj de uzantoj.
  • Kolektanto de Identeco. Aparta ilo, kiu estas instalita sur Vindoza Servilo kaj kolektas aŭtentigajn protokolojn anstataŭ la enirejo. Fakte, deviga opcio por granda nombro da uzantoj.
  • RADIUS-Kontado. Nu, kie ni estus sen la bona malnova RADIUS.

En ĉi tiu lernilo mi montros la duan opcion - Retumilo-Bazita. Mi pensas, ke teorio sufiĉas, ni transiru al praktiko.

Videoleciono

Restu agordita por pli kaj aliĝu al nia YouTube kanalo 🙂

fonto: www.habr.com

Aldoni komenton