ProHoster > Dienoraštis > Administravimas > 10. Patikrinimo taško pradžia 80.20 R. Tapatybės suvokimas

10. Patikrinimo taško pradžia 80.20 R. Tapatybės suvokimas

10. Patikrinimo taško pradžia 80.20 R. Tapatybės suvokimas

Sveiki atvykę į jubiliejų – 10 pamoką. Ir šiandien mes kalbėsime apie kitą „Check Point“ ašmenį - Tapatybės suvokimas. Pačioje pradžioje, aprašydami NGFW, nustatėme, kad jis turi turėti galimybę reguliuoti prieigą pagal paskyras, o ne IP adresus. Tai visų pirma lemia padidėjęs vartotojų mobilumas ir plačiai paplitęs BYOD modelis – atsineškite savo įrenginį. Įmonėje gali būti daug žmonių, kurie jungiasi per WiFi, gauna dinaminį IP ir net iš skirtingų tinklo segmentų. Pabandykite čia sukurti prieigos sąrašus pagal IP numerius. Čia neapsieisite be vartotojo identifikavimo. Ir tai yra tapatybės suvokimo peiliukas, kuris mums padės šiuo klausimu.

Bet pirmiausia išsiaiškinkime, kam dažniausiai naudojamas vartotojo identifikavimas?

  1. Apriboti prieigą prie tinklo pagal vartotojų paskyras, o ne pagal IP adresus. Prieiga gali būti reguliuojama tiek tiesiog prie interneto, tiek prie bet kurių kitų tinklo segmentų, pavyzdžiui, DMZ.
  2. Prieiga per VPN. Sutikite, kad vartotojui daug patogiau autorizacijai naudoti savo domeno paskyrą, o ne kitą sugalvotą slaptažodį.
  3. Norėdami valdyti „Check Point“, jums taip pat reikia paskyros, kuri gali turėti įvairių teisių.
  4. Ir geriausia dalis yra reportažas. Daug maloniau ataskaitose matyti konkrečius vartotojus, o ne jų IP adresus.

Tuo pačiu metu „Check Point“ palaiko dviejų tipų paskyras:

  • Vietiniai vidiniai vartotojai. Vartotojas sukuriamas vietinėje valdymo serverio duomenų bazėje.
  • Išoriniai vartotojai. Išorinė vartotojų bazė gali būti Microsoft Active Directory arba bet kuris kitas LDAP serveris.

Šiandien mes kalbėsime apie prieigą prie tinklo. Norint valdyti prieigą prie tinklo, esant Active Directory, vadinamasis Prieigos vaidmuo, kuri suteikia tris vartotojo parinktis:

  1. tinklas - t.y. tinklas, prie kurio vartotojas bando prisijungti
  2. AD vartotojas arba vartotojų grupė — šie duomenys paimami tiesiai iš AD serverio
  3. Mašina - darbo vieta.

Tokiu atveju vartotojo identifikavimas gali būti atliekamas keliais būdais:

  • AD užklausa. Check Point nuskaito autentifikuotų vartotojų ir jų IP adresų AD serverio žurnalus. Kompiuteriai, esantys AD domene, identifikuojami automatiškai.
  • Naršyklėmis pagrįstas autentifikavimas. Identifikavimas per vartotojo naršyklę (Captive Portal arba Transparent Kerberos). Dažniausiai naudojamas įrenginiams, kurie nėra domene.
  • Terminalo serveriai. Tokiu atveju identifikavimas atliekamas naudojant specialų terminalo agentą (įdiegtą terminalo serveryje).

Tai yra trys dažniausiai pasitaikantys variantai, tačiau yra dar trys:

  • Tapatybės agentai. Vartotojų kompiuteriuose įdiegtas specialus agentas.
  • Tapatybės rinkėjas. Atskira paslaugų programa, įdiegta „Windows Server“ ir renkanti autentifikavimo žurnalus, o ne šliuzą. Tiesą sakant, tai yra privaloma parinktis dideliam vartotojų skaičiui.
  • RADIUS Apskaita. Na, kur mes būtume be senojo gero RADIJO.

Šioje pamokoje pademonstruosiu antrąją parinktį – pagrįstą naršykle. Manau, teorijos užtenka, pereikime prie praktikos.

Vaizdo pamoka

Sekite naujienas ir prisijunkite prie mūsų "YouTube" kanalas ????

Šaltinis: www.habr.com

Добавить комментарий