¡Saludos! Bienvenidos a la octava lección del curso. . En и En las lecciones nos familiarizamos con los perfiles de seguridad básicos, ahora podemos liberar a los usuarios a Internet, protegerlos de virus y limitar el acceso a recursos y aplicaciones web. Ahora surge la pregunta sobre la administración de registros de usuarios. ¿Cómo proporcionar acceso a Internet sólo a un determinado grupo de usuarios? ¿Cómo se puede prohibir a un grupo de usuarios visitar determinados sitios web, mientras que a otro se le puede permitir? ¿Cómo integrar las soluciones existentes de monitoreo de registros de usuarios con el firewall FortiGate? Hoy discutiremos estos temas e intentaremos hacer todo en la práctica.
Primero, veamos los métodos de autenticación que admite FortiGate, básicamente hay dos: local y remoto.
El método local es el método de autenticación más simple. En este caso, los datos del usuario se almacenan localmente en FortiGate. Los usuarios locales se pueden combinar en grupos. Y en función de usuarios o grupos, diferenciar el acceso a diversos recursos.
Cuando se utiliza la autenticación remota, los usuarios son autenticados por servidores remotos. Este método es útil cuando varios FortiGates necesitan autenticar a los mismos usuarios o cuando ya existe un servidor de autenticación en la red.
Cuando un servidor remoto autentica a los usuarios, FortiGate envía las credenciales ingresadas por el usuario a ese servidor. Este servidor, a su vez, comprueba si dichas credenciales están presentes en su base de datos. En caso afirmativo, el usuario se autentica exitosamente en el sistema.
Vale la pena prestar atención al hecho de que, en este caso, las credenciales del usuario no se almacenan en FortiGate y el proceso de autenticación en sí se lleva a cabo en un servidor remoto.
También vale la pena mencionar el mecanismo de inicio de sesión único de Fortinet. Le permite organizar la autenticación transparente de los usuarios del dominio en FortiGate utilizando datos de los controladores de dominio. Desafortunadamente, la consideración de este mecanismo está más allá del alcance de nuestro curso.
FortiGate admite muchos tipos de servidores de autenticación como POP3, RADIUS, LDAP, TACAS+. Veremos cómo trabajar con un servidor LDAP.
El video cubre la teoría básica, además de trabajar con usuarios locales y el servidor LDAP.
En la próxima lección veremos cómo trabajar con registros, en particular veremos las capacidades de la solución FortiAnalyzer. Para no perdértelo, sigue las actualizaciones en los siguientes canales:
Fuente: habr.com