ProHoster > Blogs > Administrācija > 10. Check Point Darba sākŔana R80.20. Identitātes apzināŔanās

10. Check Point Darba sākŔana R80.20. Identitātes apzināŔanās

10. Check Point Darba sākŔana R80.20. Identitātes apzināŔanās

Laipni lÅ«gti jubilejā ā€“ 10. nodarbÄ«bā. Un Å”odien mēs runāsim par citu Check Point asmeni - Identitātes apzināŔanās. PaŔā sākumā, aprakstot NGFW, noteicām, ka tai jāspēj regulēt piekļuvi, pamatojoties uz kontiem, nevis IP adresēm. Tas galvenokārt ir saistÄ«ts ar lietotāju palielināto mobilitāti un BYOD modeļa plaÅ”o izplatÄ«bu ā€“ ņemiet lÄ«dzi savu ierÄ«ci. Uzņēmumā var bÅ«t daudz cilvēku, kuri pieslēdzas caur WiFi, saņem dinamisku IP un pat no dažādiem tÄ«kla segmentiem. Å eit mēģiniet izveidot piekļuves sarakstus, pamatojoties uz IP numuriem. Å eit jÅ«s nevarat iztikt bez lietotāja identifikācijas. Un tas ir identitātes apzināŔanās asmens, kas mums palÄ«dzēs Å”ajā jautājumā.

Bet vispirms izdomāsim, kam lietotāja identifikācija tiek izmantota visbiežāk?

  1. Lai ierobežotu piekļuvi tÄ«klam pēc lietotāju kontiem, nevis pēc IP adresēm. Piekļuvi var regulēt gan vienkārÅ”i internetam, gan jebkuriem citiem tÄ«kla segmentiem, piemēram, DMZ.
  2. Piekļuve caur VPN. Piekrītiet, ka lietotājam ir daudz ērtāk autorizācijai izmantot savu domēna kontu, nevis citu izdomātu paroli.
  3. Lai pārvaldītu Check Point, jums ir nepiecieŔams arī konts, kuram var būt dažādas tiesības.
  4. Un labākā daļa ir ziņoÅ”ana. Ir daudz patÄ«kamāk pārskatos redzēt konkrētus lietotājus, nevis viņu IP adreses.

Tajā paŔā laikā Check Point atbalsta divu veidu kontus:

  • Vietējie iekŔējie lietotāji. Lietotājs tiek izveidots pārvaldÄ«bas servera lokālajā datu bāzē.
  • Ārējie lietotāji. Ārējā lietotāju bāze var bÅ«t Microsoft Active Directory vai jebkurÅ” cits LDAP serveris.

Å odien mēs runāsim par piekļuvi tÄ«klam. Lai kontrolētu piekļuvi tÄ«klam, Active Directory klātbÅ«tnē, t.s Piekļuves loma, kas nodroÅ”ina trÄ«s lietotāja iespējas:

  1. tīkls - t.i. tīkls, ar kuru lietotājs mēģina izveidot savienojumu
  2. AD lietotājs vai lietotāju grupa ā€” Å”ie dati tiek iegÅ«ti tieÅ”i no AD servera
  3. MaŔīna - darba vieta.

Šajā gadījumā lietotāja identifikāciju var veikt vairākos veidos:

  • REKLĀMAS vaicājums. Check Point nolasa AD servera žurnālus autentificētiem lietotājiem un viņu IP adresēm. Datori, kas atrodas AD domēnā, tiek identificēti automātiski.
  • PārlÅ«kprogrammā balstÄ«ta autentifikācija. Identifikācija, izmantojot lietotāja pārlÅ«kprogrammu (Captive Portal vai Transparent Kerberos). Visbiežāk izmanto ierÄ«cēm, kas neatrodas domēnā.
  • Termināļa serveri. Å ajā gadÄ«jumā identifikācija tiek veikta, izmantojot Ä«paÅ”u termināļa aÄ£entu (instalēts termināļa serverÄ«).

Šīs ir trīs visizplatītākās iespējas, taču ir vēl trīs:

  • Identitātes aÄ£enti. Lietotāju datoros ir instalēts Ä«paÅ”s aÄ£ents.
  • Identitātes savācējs. AtseviŔķa utilÄ«ta, kas ir instalēta sistēmā Windows Server un vārtejas vietā apkopo autentifikācijas žurnālus. Faktiski obligāta opcija lielam lietotāju skaitam.
  • RADIUS GrāmatvedÄ«ba. Nu kur gan mēs bÅ«tu bez vecā labā RADIUSA.

Å ajā apmācÄ«bā es demonstrÄ“Å”u otro iespēju - Browser-Based. Es domāju, ka ar teoriju pietiek, pāriesim pie prakses.

Video pamācība

Sekojiet līdzi informācijai un pievienojieties mums YouTube kanālu ????

Avots: www.habr.com

Pievieno komentāru