Fàilte don cheann-bliadhna - 10mh leasan. Agus an-diugh bruidhnidh sinn mu lann Check Point eile - Mothachadh Aithne. Aig an fhìor thoiseach, nuair a bha sinn a’ toirt cunntas air NGFW, cho-dhùin sinn gum feum e a bhith comasach air ruigsinneachd a riaghladh stèidhichte air cunntasan, chan e seòlaidhean IP. Tha seo gu sònraichte mar thoradh air gluasad nas motha de luchd-cleachdaidh agus sgaoileadh farsaing modal BYOD - thoir leat an inneal agad fhèin. Is dòcha gu bheil tòrr dhaoine ann an companaidh a bhios a’ ceangal tro WiFi, a’ faighinn IP fiùghantach, agus eadhon bho dhiofar roinnean lìonraidh. Feuch ri liostaichean ruigsinneachd a chruthachadh stèidhichte air àireamhan IP an seo. An seo chan urrainn dhut a dhèanamh às aonais aithne neach-cleachdaidh. Agus is e an lann Mothachadh Aithne a chuidicheas sinn anns a 'chùis seo.
Ach an toiseach, leig dhuinn a-mach carson a thathas a’ cleachdadh aithne neach-cleachdaidh as trice?
- Gus ruigsinneachd lìonra a chuingealachadh le cunntasan luchd-cleachdaidh seach le seòlaidhean IP. Faodar ruigsinneachd a riaghladh an dà chuid dìreach chun eadar-lìn agus gu roinnean lìonra sam bith eile, mar eisimpleir DMZ.
- Ruigsinneachd tro VPN. Aontaich gu bheil e tòrr nas goireasaiche don neach-cleachdaidh an cunntas fearainn aige a chleachdadh airson cead, seach facal-faire eile a chaidh a chruthachadh.
- Gus smachd a chumail air Check Point, feumaidh tu cuideachd cunntas aig a bheil diofar chòraichean.
- Agus is e am pàirt as fheàrr aithris. Tha e tòrr nas fheàrr luchd-cleachdaidh sònraichte fhaicinn ann an aithisgean seach na seòlaidhean IP aca.
Aig an aon àm, tha Check Point a’ toirt taic do dhà sheòrsa chunntasan:
- Luchd-cleachdaidh ionadail a-staigh. Tha an neach-cleachdaidh air a chruthachadh ann an stòr-dàta ionadail an fhrithealaiche riaghlaidh.
- Luchd-cleachdaidh bhon taobh a-muigh. Faodaidh am bunait luchd-cleachdaidh bhon taobh a-muigh a bhith mar Microsoft Active Directory no frithealaiche LDAP sam bith eile.
An-diugh bruidhnidh sinn mu ruigsinneachd lìonra. Gus smachd a chumail air ruigsinneachd lìonra, an làthair Active Directory, ris an canar Dleastanas Ruigsinneachd, a leigeas le trì roghainnean cleachdaiche:
- lìonra - i.e. an lìonra a tha an neach-cleachdaidh a 'feuchainn ri ceangal ris
- Buidheann cleachdaiche no cleachdaiche AD - tha an dàta seo air a tharraing gu dìreach bhon t-seirbheisiche AD
- Machine - ionad-obrach.
Anns a 'chùis seo, faodar aithne neach-cleachdaidh a dhèanamh ann an grunn dhòighean:
- Ceist AD. Leughaidh Check Point na logaichean frithealaiche AD airson luchd-cleachdaidh dearbhte agus na seòlaidhean IP aca. Tha coimpiutairean a tha san raon AD air an comharrachadh gu fèin-ghluasadach.
- Dearbhadh stèidhichte air brabhsair. Aithneachadh tro bhrobhsair an neach-cleachdaidh (Portal Captive no Transparent Kerberos). Mar as trice air a chleachdadh airson innealan nach eil ann an raon.
- Frithealaichean Terminal. Anns a ’chùis seo, thathas a’ comharrachadh le bhith a ’cleachdadh àidseant crìochnachaidh sònraichte (air a chuir a-steach air an fhrithealaiche crìochnachaidh).
Is iad seo na trì roghainnean as cumanta, ach tha trì eile ann:
- Luchd-ionaid dearbh-aithne. Tha àidseant sònraichte air a chuir a-steach air coimpiutairean luchd-cleachdaidh.
- Neach-cruinneachaidh dearbh-aithne. Goireas air leth a tha air a chuir a-steach air Windows Server agus a chruinnicheas logaichean dearbhaidh an àite a’ gheata. Gu dearbh, roghainn èigneachail airson àireamh mhòr de luchd-cleachdaidh.
- Cunntasachd RADIUS. Uill, càite am biodh sinn às aonais an t-seann RADIUS math.
San oideachadh seo seallaidh mi an dàrna roghainn - stèidhichte air brabhsair. Tha mi a’ smaoineachadh gu bheil teòiridh gu leòr, gluaisidh sinn air adhart gu cleachdadh.
Leasan bhidio
Cùm sùil airson barrachd agus thig còmhla rinn ????
Source: www.habr.com