salam sejahtera! Selamat datang ke pelajaran kelapan kursus . Pada ΠΈ Dalam pelajaran yang kami kenali dengan profil keselamatan asas, kini kami boleh melepaskan pengguna ke Internet, melindungi mereka daripada virus, mengehadkan akses kepada sumber web dan aplikasi. Sekarang timbul persoalan mengenai mentadbir rekod pengguna. Bagaimana untuk menyediakan akses Internet kepada kumpulan pengguna tertentu sahaja? Bagaimanakah satu kumpulan pengguna boleh dilarang daripada melawat tapak web tertentu, manakala satu lagi boleh dibenarkan? Bagaimana untuk mengintegrasikan penyelesaian pemantauan rekod pengguna sedia ada dengan tembok api FortiGate? Hari ini kita akan membincangkan isu-isu ini dan cuba melakukan segala-galanya dalam amalan.
Mula-mula, mari kita lihat kaedah pengesahan yang disokong FortiGate. Pada asasnya terdapat dua daripadanya - tempatan dan jauh.
Kaedah tempatan adalah kaedah pengesahan yang paling mudah. Dalam kes ini, data pengguna disimpan secara setempat pada FortiGate. Pengguna tempatan boleh digabungkan ke dalam kumpulan. Dan berdasarkan pengguna atau kumpulan, bezakan akses kepada pelbagai sumber.
Apabila pengesahan jauh digunakan, pengguna disahkan oleh pelayan jauh. Kaedah ini berguna apabila berbilang FortiGates perlu mengesahkan pengguna yang sama, atau apabila sudah ada pelayan pengesahan pada rangkaian.
Apabila pelayan jauh mengesahkan pengguna, FortiGate menghantar kelayakan yang dimasukkan pengguna ke pelayan itu. Pelayan ini, seterusnya, menyemak sama ada bukti kelayakan tersebut terdapat dalam pangkalan datanya. Jika ya, pengguna berjaya disahkan ke dalam sistem.
Perlu memberi perhatian kepada fakta bahawa dalam kes ini, kelayakan pengguna tidak disimpan di FortiGate, dan proses pengesahan itu sendiri berlaku pada pelayan jauh.
Ia juga bernilai menyebut mekanisme Fortinet Single Sign On. Ia membolehkan anda mengatur pengesahan telus pengguna domain di FortiGate menggunakan data daripada pengawal domain. Malangnya, pertimbangan mekanisme ini adalah di luar skop kursus kami.
FortiGate menyokong banyak jenis pelayan pengesahan seperti POP3, RADIUS, LDAP, TACAS+. Kami akan melihat untuk bekerja dengan pelayan LDAP.
Video ini merangkumi teori asas, serta bekerja dengan pengguna tempatan dan pelayan LDAP.
Dalam pelajaran seterusnya kita akan melihat bekerja dengan log, khususnya kita akan melihat keupayaan penyelesaian FortiAnalyzer. Untuk tidak ketinggalan, ikuti kemas kini pada saluran berikut:
Sumber: www.habr.com