Üdvözlet! Üdvözöljük a tanfolyam nyolcadik leckében . tovább и A leckéken megismerkedtünk az alapvető biztonsági profilokkal, most már a felhasználókat is felszabadíthatjuk az Internetre, megvédve őket a vírusoktól, korlátozva a webes erőforrásokhoz és alkalmazásokhoz való hozzáférést. Most felmerül a kérdés a felhasználói rekordok kezelésével kapcsolatban. Hogyan biztosítsunk internet-hozzáférést csak a felhasználók egy bizonyos csoportja számára? Hogyan tiltható meg a felhasználók egy csoportjának bizonyos webhelyek látogatása, míg egy másik csoportnak engedélyezhető? Hogyan lehet integrálni a meglévő felhasználói rekordfigyelő megoldásokat a FortiGate tűzfallal? Ma ezeket a kérdéseket fogjuk megvitatni, és megpróbálunk mindent a gyakorlatban megtenni.
Először is nézzük meg a FortiGate által támogatott hitelesítési módszereket, amelyek közül lényegében kettő van: helyi és távoli.
A helyi módszer a legegyszerűbb hitelesítési módszer. Ebben az esetben a felhasználói adatokat helyileg a FortiGate tárolja. A helyi felhasználók csoportokba vonhatók. És a felhasználók vagy csoportok alapján különböztesse meg a különböző erőforrásokhoz való hozzáférést.
Távoli hitelesítés használata esetén a felhasználókat távoli kiszolgálók hitelesítik. Ez a módszer akkor hasznos, ha több FortiGate-nek kell hitelesítenie ugyanazt a felhasználót, vagy ha már van hitelesítési szerver a hálózaton.
Amikor egy távoli szerver hitelesíti a felhasználókat, a FortiGate elküldi a felhasználó által megadott hitelesítő adatokat a szervernek. Ez a szerver viszont ellenőrzi, hogy vannak-e ilyen hitelesítő adatok az adatbázisában. Ha igen, akkor a felhasználó sikeresen bekerült a rendszerbe.
Érdemes odafigyelni arra, hogy ebben az esetben a felhasználói hitelesítő adatok nem a FortiGate-en tárolódnak, maga a hitelesítési folyamat pedig egy távoli szerveren történik.
Érdemes megemlíteni a Fortinet Single Sign On mechanizmusát is. Lehetővé teszi a tartományfelhasználók átlátható hitelesítésének megszervezését a FortiGate-en a tartományvezérlőktől származó adatok felhasználásával. Sajnos ennek a mechanizmusnak a figyelembe vétele túlmutat tantervünk keretein.
A FortiGate sokféle hitelesítési szervert támogat, mint például a POP3, RADIUS, LDAP, TACAS+. Megvizsgáljuk az LDAP szerverrel való munkát.
A videó bemutatja az alapelméletet, valamint a helyi felhasználókkal és az LDAP szerverrel való együttműködést.
A következő leckében a naplókkal való munkával foglalkozunk, különös tekintettel a FortiAnalyzer megoldás képességeire. Hogy ne maradj le róla, kövesd a frissítéseket az alábbi csatornákon:
Forrás: will.com