ProHoster > блог > Администрација > 10. Проверете ја точката За почеток R80.20. Свесност за идентитетот

10. Проверете ја точката За почеток R80.20. Свесност за идентитетот

10. Проверете ја точката За почеток R80.20. Свесност за идентитетот

Добредојдовте на годишнината - 10-та лекција. И денес ќе зборуваме за уште едно сечило за Check Point - Свесност за идентитетот. На самиот почеток, кога го опишувавме NGFW, утврдивме дека мора да може да го регулира пристапот врз основа на сметки, а не на IP адреси. Ова првенствено се должи на зголемената мобилност на корисниците и широкото ширење на моделот BYOD - понесете свој уред. Може да има многу луѓе во една компанија кои се поврзуваат преку WiFi, добиваат динамична IP адреса, па дури и од различни мрежни сегменти. Обидете се да креирате списоци за пристап врз основа на IP броеви овде. Овде не можете да направите без идентификација на корисникот. И тоа е сечилото за свесност за идентитетот што ќе ни помогне во ова прашање.

Но, прво, ајде да откриеме за што најчесто се користи идентификацијата на корисникот?

  1. За да го ограничите пристапот до мрежата преку кориснички сметки наместо преку IP адреси. Пристапот може да се регулира и едноставно до Интернет и до сите други мрежни сегменти, на пример DMZ.
  2. Пристап преку VPN. Согласете се дека е многу поудобно за корисникот да ја користи својата сметка на домен за авторизација, наместо друга измислена лозинка.
  3. За да управувате со Check Point, потребна ви е и сметка која може да има различни права.
  4. А најдобриот дел е известувањето. Многу е поубаво да се видат одредени корисници во извештаите наместо нивните IP адреси.

Во исто време, Check Point поддржува два вида сметки:

  • Локални внатрешни корисници. Корисникот е креиран во локалната база на податоци на серверот за управување.
  • Надворешни корисници. Microsoft Active Directory или кој било друг LDAP сервер може да дејствува како надворешна корисничка база.

Денес ќе зборуваме за пристап до мрежата. За контрола на пристапот до мрежата, во присуство на Active Directory, т.н Улога за пристап, што овозможува три кориснички опции:

  1. мрежа - т.е. мрежата на која корисникот се обидува да се поврзе
  2. Корисник на реклама или корисничка група — овие податоци се извлекуваат директно од серверот за АД
  3. Машина - работна станица.

Во овој случај, идентификацијата на корисникот може да се изврши на неколку начини:

  • Барање од АД. Check Point ги чита дневниците на серверот за AD за автентицирани корисници и нивните IP адреси. Компјутерите кои се во доменот АД се идентификуваат автоматски.
  • Автентикација базирана на прелистувач. Идентификација преку прелистувачот на корисникот (Captive Portal или Transparent Kerberos). Најчесто се користи за уреди кои не се во домен.
  • Терминални сервери. Во овој случај, идентификацијата се врши со помош на специјален терминален агент (инсталиран на терминалниот сервер).

Ова се трите најчести опции, но има уште три:

  • Агенти за идентитет. На компјутерите на корисниците е инсталиран специјален агент.
  • Колекционер на идентитети. Посебна алатка што е инсталирана на Windows Server и собира логови за автентикација наместо портата. Всушност, задолжителна опција за голем број корисници.
  • РАДИУС Сметководство. Па, каде ќе бевме без стариот добар РАДИУС.

Во овој туторијал ќе ја покажам втората опција - Browser-Based. Мислам дека теоријата е доволна, да преминеме на пракса.

Видео лекција

Останете во тек за повеќе и придружете ни се YouTube канал 🙂

Извор: www.habr.com

Додадете коментар