Velkomin á afmælið - 10. kennslustund. Og í dag munum við tala um annað Check Point blað - Sjálfsmyndavitund. Strax í upphafi, þegar við lýsum NGFW, ákváðum við að það yrði að geta stjórnað aðgangi út frá reikningum, ekki IP-tölum. Þetta er fyrst og fremst vegna aukinnar hreyfanleika notenda og víðtækrar útbreiðslu BYOD líkansins - komdu með þitt eigið tæki. Það getur verið fullt af fólki í fyrirtæki sem tengist í gegnum WiFi, fær kraftmikla IP og jafnvel frá mismunandi nethlutum. Prófaðu að búa til aðgangslista byggða á IP tölum hér. Hér geturðu ekki verið án notendaauðkenningar. Og það er sjálfsvitundarblaðið sem mun hjálpa okkur í þessu máli.
En fyrst skulum við reikna út hvað notendaauðkenning er oftast notuð fyrir?
- Til að takmarka netaðgang með notendareikningum frekar en með IP tölum. Hægt er að stjórna aðgangi bæði einfaldlega að internetinu og öllum öðrum nethlutum, til dæmis DMZ.
- Aðgangur í gegnum VPN. Sammála því að það er miklu þægilegra fyrir notandann að nota lénsreikninginn sinn fyrir heimild, frekar en annað uppfundið lykilorð.
- Til að stjórna Check Point þarftu líka reikning sem getur haft ýmis réttindi.
- Og það besta er að tilkynna. Það er miklu betra að sjá tiltekna notendur í skýrslum frekar en IP-tölur þeirra.
Á sama tíma styður Check Point tvær tegundir af reikningum:
- Staðbundnir innri notendur. Notandinn er búinn til í staðbundnum gagnagrunni stjórnunarþjónsins.
- Ytri notendur. Ytri notendagrunnur getur verið Microsoft Active Directory eða einhver annar LDAP netþjónn.
Í dag munum við tala um netaðgang. Til að stjórna netaðgangi, í viðurvist Active Directory, svokallaða Aðgangshlutverk, sem gerir þrjá notendavalkosti kleift:
- Net - þ.e. netið sem notandinn er að reyna að tengjast
- AD notandi eða notendahópur — þessi gögn eru dregin beint frá AD þjóninum
- Machine - vinnustöð.
Í þessu tilviki er hægt að framkvæma auðkenningu notanda á nokkra vegu:
- AD fyrirspurn. Check Point les AD netþjónsskrárnar fyrir sannvotta notendur og IP tölur þeirra. Tölvur sem eru á AD léninu eru auðkenndar sjálfkrafa.
- Vafrabundin auðkenning. Auðkenning í gegnum vafra notandans (Captive Portal eða Transparent Kerberos). Oftast notað fyrir tæki sem eru ekki á léni.
- Terminal Servers. Í þessu tilviki fer auðkenningin fram með því að nota sérstakan flugstöðvamiðlara (uppsettur á flugstöðvarþjóninum).
Þetta eru þrír algengustu valkostirnir, en það eru þrír í viðbót:
- Auðkennisfulltrúar. Sérstakur umboðsmaður er settur upp á tölvum notenda.
- Identity Collector. Sérstakt tól sem er sett upp á Windows Server og safnar auðkenningarskrám í stað gáttarinnar. Reyndar lögboðinn valkostur fyrir mikinn fjölda notenda.
- RADIUS bókhald. Jæja, hvar værum við án gamla góða RADIUS.
Í þessari kennslu mun ég sýna seinni valmöguleikann - Vafra-undirstaða. Ég held að kenningin sé nóg, við skulum halda áfram að æfa.
Vídeókennsla
Fylgstu með fyrir meira og vertu með
Heimild: www.habr.com