Salutations! Bienvenue à la huitième leçon du cours . sur и Au cours des leçons, nous nous sommes familiarisés avec les profils de sécurité de base, nous pouvons désormais libérer les utilisateurs d'Internet, les protéger contre les virus et limiter l'accès aux ressources et aux applications Web. Se pose désormais la question de la gestion des enregistrements des utilisateurs. Comment fournir un accès Internet à un certain groupe d'utilisateurs uniquement ? Comment peut-on interdire à un groupe d’utilisateurs de visiter certains sites Web, tandis qu’un autre peut être autorisé ? Comment intégrer les solutions existantes de surveillance des enregistrements utilisateur avec le pare-feu FortiGate ? Aujourd'hui, nous allons discuter de ces questions et essayer de tout mettre en pratique.
Tout d'abord, examinons les méthodes d'authentification prises en charge par FortiGate. Il y en a essentiellement deux : locale et distante.
La méthode locale est la méthode d'authentification la plus simple. Dans ce cas, les données utilisateur sont stockées localement sur le FortiGate. Les utilisateurs locaux peuvent être regroupés en groupes. Et en fonction des utilisateurs ou des groupes, différenciez l'accès aux différentes ressources.
Lorsque l'authentification à distance est utilisée, les utilisateurs sont authentifiés par des serveurs distants. Cette méthode est utile lorsque plusieurs FortiGates doivent authentifier les mêmes utilisateurs ou lorsqu'il existe déjà un serveur d'authentification sur le réseau.
Lorsqu'un serveur distant authentifie les utilisateurs, FortiGate envoie les informations d'identification saisies par l'utilisateur à ce serveur. Ce serveur vérifie à son tour si ces informations d'identification sont présentes dans sa base de données. Si oui, l'utilisateur est authentifié avec succès dans le système.
Il convient de prêter attention au fait que dans ce cas, les informations d'identification de l'utilisateur ne sont pas stockées sur FortiGate et que le processus d'authentification lui-même a lieu sur un serveur distant.
Il convient également de mentionner le mécanisme Fortinet Single Sign On. Il vous permet d'organiser une authentification transparente des utilisateurs du domaine sur FortiGate à l'aide des données des contrôleurs de domaine. Malheureusement, l’examen de ce mécanisme dépasse le cadre de notre cours.
FortiGate prend en charge de nombreux types de serveurs d'authentification tels que POP3, RADIUS, LDAP, TACAS+. Nous envisagerons de travailler avec un serveur LDAP.
La vidéo couvre la théorie de base, ainsi que le travail avec les utilisateurs locaux et le serveur LDAP.
Dans la prochaine leçon, nous examinerons l'utilisation des journaux, en particulier les capacités de la solution FortiAnalyzer. Pour ne pas le manquer, suivez l'actualité sur les chaînes suivantes :
Source: habr.com