Ողջույններ: Բարի գալուստ դասընթացի ութերորդ դաս : On и Դասերի ընթացքում մենք ծանոթացանք հիմնական անվտանգության պրոֆիլներին, այժմ մենք կարող ենք օգտատերերին բաց թողնել ինտերնետ՝ պաշտպանելով նրանց վիրուսներից, սահմանափակելով մուտքը դեպի վեբ ռեսուրսներ և հավելվածներ։ Այժմ հարց է առաջանում օգտատերերի գրառումները կառավարելու մասին: Ինչպե՞ս ինտերնետ հասանելիություն ապահովել օգտատերերի միայն որոշակի խմբի համար: Ինչպե՞ս կարելի է օգտատերերի մի խմբին արգելել այցելել որոշակի կայքեր, մինչդեռ մյուսին կարելի է թույլատրել: Ինչպե՞ս ինտեգրել օգտատերերի գրառումների մոնիտորինգի առկա լուծումները FortiGate firewall-ի հետ: Այսօր մենք կքննարկենք այս հարցերը և կփորձենք ամեն ինչ անել գործնականում։
Նախ, եկեք նայենք նույնականացման մեթոդներին, որոնք աջակցում է FortiGate-ը: Դրանք հիմնականում երկուսն են՝ տեղական և հեռավոր:
Տեղական մեթոդը նույնականացման ամենապարզ մեթոդն է: Այս դեպքում օգտատիրոջ տվյալները տեղայնորեն պահվում են FortiGate-ում: Տեղական օգտվողները կարող են միավորվել խմբերի: Եվ օգտատերերի կամ խմբերի հիման վրա տարբերակեք տարբեր ռեսուրսների հասանելիությունը:
Երբ օգտագործվում է հեռակա նույնականացում, օգտվողները վավերացվում են հեռավոր սերվերների միջոցով: Այս մեթոդը օգտակար է, երբ մի քանի FortiGates-ները պետք է նույնականացնեն նույն օգտատերերը, կամ երբ արդեն իսկորոշման սերվեր կա ցանցում:
Երբ հեռավոր սերվերը վավերացնում է օգտատերերին, FortiGate-ն ուղարկում է օգտագործողի կողմից մուտքագրված հավատարմագրերը այդ սերվերին: Այս սերվերը, իր հերթին, ստուգում է, թե արդյոք նման հավատարմագրերը առկա են իր տվյալների բազայում: Եթե այո, օգտվողը հաջողությամբ վավերացված է համակարգում:
Արժե ուշադրություն դարձնել այն փաստին, որ այս դեպքում օգտագործողի հավատարմագրերը չեն պահվում FortiGate-ում, իսկ նույնականացման գործընթացը ինքնին տեղի է ունենում հեռավոր սերվերի վրա:
Հարկ է նշել նաև Fortinet Single Sign On մեխանիզմը։ Այն թույլ է տալիս կազմակերպել տիրույթի օգտատերերի թափանցիկ նույնականացում FortiGate-ում՝ օգտագործելով տիրույթի կարգավորիչների տվյալները: Ցավոք, այս մեխանիզմի քննարկումը դուրս է մեր դասընթացի շրջանակներից:
FortiGate-ն աջակցում է նույնականացման բազմաթիվ տեսակի սերվերներ, ինչպիսիք են POP3, RADIUS, LDAP, TACAS+: Մենք կանդրադառնանք LDAP սերվերի հետ աշխատելուն:
Տեսանյութն ընդգրկում է հիմնական տեսությունը, ինչպես նաև աշխատանքը տեղական օգտատերերի և LDAP սերվերի հետ:
Հաջորդ դասին մենք կանդրադառնանք լոգերի հետ աշխատելուն, մասնավորապես կանդրադառնանք FortiAnalyzer լուծման հնարավորություններին։ Այն բաց չթողնելու համար հետևեք թարմացումներին հետևյալ ալիքներով.
Source: www.habr.com