Saúdos! Benvidos á oitava lección do curso . Activado и Nas leccións coñecemos os perfís básicos de seguridade, agora podemos liberar os usuarios a Internet, protexéndoos de virus, limitando o acceso aos recursos e aplicacións web. Agora xorde a pregunta sobre a administración dos rexistros de usuarios. Como proporcionar acceso a Internet só a un determinado grupo de usuarios? Como se pode prohibir a un grupo de usuarios visitar determinados sitios web, mentres que outro se pode permitir? Como integrar as solucións de monitorización de rexistros de usuarios existentes co firewall FortiGate? Hoxe comentaremos estes temas e trataremos de facelo todo na práctica.
En primeiro lugar, vexamos os métodos de autenticación que admite FortiGate.Hai esencialmente dous deles: local e remoto.
O método local é o método de autenticación máis sinxelo. Neste caso, os datos do usuario almacénanse localmente no FortiGate. Os usuarios locais pódense combinar en grupos. E en función de usuarios ou grupos, diferenciar o acceso a diversos recursos.
Cando se utiliza a autenticación remota, os usuarios son autenticados por servidores remotos. Este método é útil cando varios FortiGates precisan autenticar os mesmos usuarios ou cando xa hai un servidor de autenticación na rede.
Cando un servidor remoto autentica usuarios, FortiGate envía as credenciais introducidas polo usuario a ese servidor. Este servidor, á súa vez, comproba se tales credenciais están presentes na súa base de datos. Se si, o usuario autenticouse correctamente no sistema.
Paga a pena prestar atención ao feito de que neste caso, as credenciais do usuario non se almacenan en FortiGate e o proceso de autenticación en si ten lugar nun servidor remoto.
Tamén vale a pena mencionar o mecanismo Fortinet Single Sign On. Permítelle organizar a autenticación transparente dos usuarios de dominio en FortiGate utilizando datos dos controladores de dominio. Desafortunadamente, a consideración deste mecanismo está fóra do alcance do noso curso.
FortiGate admite moitos tipos de servidores de autenticación como POP3, RADIUS, LDAP, TACAS+. Veremos como traballar cun servidor LDAP.
O vídeo abarca a teoría básica, así como o traballo con usuarios locais e o servidor LDAP.
Na seguinte lección analizaremos o traballo cos rexistros, en particular veremos as capacidades da solución FortiAnalyzer. Para non perdelo, segue as actualizacións nas seguintes canles:
Fonte: www.habr.com