Сәлем! Курстың сегізінші сабағына қош келдіңіздер . туралы и Сабақтарда біз негізгі қауіпсіздік профильдерімен таныстық, енді біз қолданушыларды интернетке шығара аламыз, оларды вирустардан қорғай аламыз, веб-ресурстарға және қолданбаларға қолжетімділікті шектей аламыз. Енді пайдаланушы жазбаларын басқару туралы сұрақ туындайды. Пайдаланушылардың белгілі бір тобына ғана Интернетке қосылуды қалай қамтамасыз етуге болады? Пайдаланушылардың бір тобына белгілі бір веб-сайттарға кіруге қалай тыйым салуға болады, ал екіншісіне рұқсат беруге болады? Қолданыстағы пайдаланушы жазбаларын бақылау шешімдерін FortiGate брандмауэрімен қалай біріктіруге болады? Бүгін біз осы мәселелерді талқылап, барлығын іс жүзінде жасауға тырысамыз.
Алдымен FortiGate қолдайтын аутентификация әдістерін қарастырайық.Олардың екі түрі бар - жергілікті және қашықтағы.
Жергілікті әдіс аутентификацияның ең қарапайым әдісі болып табылады. Бұл жағдайда пайдаланушы деректері жергілікті түрде FortiGate жүйесінде сақталады. Жергілікті пайдаланушыларды топтарға біріктіруге болады. Ал пайдаланушылар немесе топтар негізінде әртүрлі ресурстарға қол жеткізуді ажыратыңыз.
Қашықтан аутентификация пайдаланылғанда, пайдаланушылар қашықтағы серверлер арқылы аутентификацияланады. Бұл әдіс бірнеше FortiGates бірдей пайдаланушыларды аутентификациялау қажет болғанда немесе желіде аутентификация сервері болған кезде пайдалы.
Қашықтағы сервер пайдаланушыларды аутентификациялағанда, FortiGate пайдаланушы енгізген тіркелгі деректерін сол серверге жібереді. Бұл сервер, өз кезегінде, мұндай тіркелгі деректерінің оның дерекқорында бар-жоғын тексереді. Иә болса, пайдаланушы жүйеде сәтті аутентификациядан өтті.
Бұл жағдайда пайдаланушының тіркелгі деректері FortiGate-те сақталмайтынына және аутентификация процесінің өзі қашықтағы серверде өтетініне назар аударған жөн.
Сондай-ақ Fortinet Single Sign On механизмін атап өткен жөн. Ол сізге FortiGate жүйесінде домен контроллерлерінің деректерін пайдалана отырып, домен пайдаланушыларының мөлдір аутентификациясын ұйымдастыруға мүмкіндік береді. Өкінішке орай, бұл механизмді қарастыру біздің курстың шеңберінен тыс.
FortiGate POP3, RADIUS, LDAP, TACAS+ сияқты аутентификация серверлерінің көптеген түрлерін қолдайды. Біз LDAP серверімен жұмыс істеуді қарастырамыз.
Бейне негізгі теорияны, сонымен қатар жергілікті пайдаланушылармен және LDAP серверімен жұмысты қамтиды.
Келесі сабақта біз журналдармен жұмыс істеуді қарастырамыз, атап айтқанда FortiAnalyzer шешімінің мүмкіндіктерін қарастырамыз. Оны жіберіп алмау үшін келесі арналардағы жаңартуларды қадағалаңыз:
Ақпарат көзі: www.habr.com