こんにちは! コースの XNUMX 番目のレッスンへようこそ 。 上の и レッスンでは基本的なセキュリティ プロファイルについて学習しましたが、これでユーザーをインターネットに解放し、ウイルスから保護し、Web リソースやアプリケーションへのアクセスを制限できるようになりました。 ここで、ユーザー レコードの管理について疑問が生じます。 特定のユーザー グループのみにインターネット アクセスを提供するにはどうすればよいですか? あるユーザー グループが特定の Web サイトにアクセスすることを禁止し、別のユーザー グループがアクセスを許可できるようにするにはどうすればよいでしょうか? 既存のユーザー レコード監視ソリューションを FortiGate ファイアウォールと統合するにはどうすればよいですか? 今日はこれらの問題について話し合い、実際にすべてを実行してみます。
まず、FortiGate がサポートする認証方法を見てみましょう。それらには基本的にローカルとリモートの XNUMX つがあります。
ローカル方式は最も単純な認証方式です。 この場合、ユーザー データは FortiGate 上にローカルに保存されます。 ローカル ユーザーをグループにまとめることができます。 また、ユーザーまたはグループに基づいて、さまざまなリソースへのアクセスを区別します。
リモート認証を使用する場合、ユーザーはリモート サーバーによって認証されます。 この方法は、複数の FortiGate が同じユーザーを認証する必要がある場合、またはネットワーク上にすでに認証サーバーが存在する場合に便利です。
リモート サーバーがユーザーを認証すると、FortiGate はユーザーが入力した認証情報をそのサーバーに送信します。 次に、このサーバーは、そのような資格情報がデータベースに存在するかどうかを確認します。 「はい」の場合、ユーザーはシステムに正常に認証されています。
この場合、ユーザーの認証情報は FortiGate に保存されず、認証プロセス自体はリモート サーバーで行われるという事実に注意する価値があります。
フォーティネット シングル サインオン メカニズムについても言及する価値があります。 ドメイン コントローラーからのデータを使用して、FortiGate 上でドメイン ユーザーの透過的な認証を組織することができます。 残念ながら、このメカニズムについての考察は、このコースの範囲を超えています。
FortiGate は、POP3、RADIUS、LDAP、TACAS+ などの多くのタイプの認証サーバーをサポートしています。 LDAP サーバーの使用について見ていきます。
このビデオでは、基本理論に加えて、ローカル ユーザーと LDAP サーバーの操作について説明します。
次のレッスンでは、ログの操作について見ていき、特に FortiAnalyzer ソリューションの機能について見ていきます。 見逃さないように、次のチャンネルで最新情報をフォローしてください。
出所: habr.com