Saluton! Bonvenon al la oka leciono de la kurso . On и En la lecionoj ni konatiĝis kun la bazaj sekurecaj profiloj, nun ni povas liberigi uzantojn al Interreto, protektante ilin kontraŭ virusoj, limigante aliron al retaj rimedoj kaj aplikaĵoj. Nun ŝprucas la demando pri administrado de uzantrekordoj. Kiel provizi Interretan aliron al nur certa grupo de uzantoj? Kiel oni povas malpermesi al unu grupo de uzantoj viziti iujn retejojn, dum alia povas esti permesita? Kiel integri ekzistantajn uzantrekordajn monitoradsolvojn kun la fajroŝirmilo FortiGate? Hodiaŭ ni diskutos ĉi tiujn aferojn kaj provos fari ĉion praktike.
Unue, ni rigardu la aŭtentikigmetodojn, kiujn FortiGate subtenas.Estas esence du el ili - loka kaj malproksima.
La loka metodo estas la plej simpla aŭtentikiga metodo. En ĉi tiu kazo, uzantdatenoj estas konservitaj loke sur la FortiGate. Lokaj uzantoj povas esti kombinitaj en grupojn. Kaj surbaze de uzantoj aŭ grupoj, diferencigu aliron al diversaj rimedoj.
Kiam fora aŭtentikigo estas uzata, uzantoj estas aŭtentikigitaj de foraj serviloj. Ĉi tiu metodo estas utila kiam pluraj FortiGates bezonas aŭtentikigi la samajn uzantojn, aŭ kiam jam ekzistas aŭtentikiga servilo en la reto.
Kiam fora servilo aŭtentikigas uzantojn, FortiGate sendas la uzantajn akreditaĵojn al tiu servilo. Ĉi tiu servilo, siavice, kontrolas ĉu tiaj akreditaĵoj ĉeestas en sia datumbazo. Se jes, la uzanto estas sukcese aŭtentikigita en la sistemon.
Indas atenti la fakton, ke en ĉi tiu kazo, uzantkreditaĵoj ne estas stokitaj sur FortiGate, kaj la aŭtentikiga procezo mem okazas sur fora servilo.
Menciindas ankaŭ la mekanismon Fortinet Single Sign On. Ĝi permesas vin organizi travideblan aŭtentikigon de domajnaj uzantoj sur FortiGate uzante datumojn de domajnaj regiloj. Bedaŭrinde, konsidero de ĉi tiu mekanismo estas ekster la amplekso de nia kurso.
FortiGate subtenas multajn specojn de aŭtentigaj serviloj kiel POP3, RADIUS, LDAP, TACAS+. Ni rigardos labori kun LDAP-servilo.
La video kovras la bazan teorion, same kiel labori kun lokaj uzantoj kaj la LDAP-servilo.
En la sekva leciono ni rigardos labori kun protokoloj, precipe ni rigardos la kapablojn de la solvo FortiAnalyzer. Por ne maltrafi ĝin, sekvu la ĝisdatigojn ĉe la sekvaj kanaloj:
fonto: www.habr.com