Groeten! Welkom bij de achtste les van de cursus . op ΠΈ In de lessen hebben we kennis gemaakt met de basisbeveiligingsprofielen, nu kunnen we gebruikers vrijgeven op internet, hen beschermen tegen virussen en de toegang tot webbronnen en applicaties beperken. Nu rijst de vraag over het beheer van gebruikersrecords. Hoe kunt u internettoegang alleen aan een bepaalde groep gebruikers verlenen? Hoe kan een groep gebruikers worden verboden bepaalde websites te bezoeken, terwijl een andere groep gebruikers dit wel kan worden toegestaan? Hoe kan ik bestaande oplossingen voor het monitoren van gebruikersrecords integreren met de FortiGate-firewall? Vandaag zullen we deze kwesties bespreken en proberen alles in de praktijk te doen.
Laten we eerst eens kijken naar de authenticatiemethoden die FortiGate ondersteunt: er zijn er in wezen twee: lokaal en op afstand.
De lokale methode is de eenvoudigste authenticatiemethode. In dit geval worden gebruikersgegevens lokaal op de FortiGate opgeslagen. Lokale gebruikers kunnen in groepen worden gecombineerd. En maak op basis van gebruikers of groepen onderscheid in de toegang tot verschillende bronnen.
Wanneer externe authenticatie wordt gebruikt, worden gebruikers geverifieerd door externe servers. Deze methode is handig wanneer meerdere FortiGates dezelfde gebruikers moeten authenticeren, of wanneer er al een authenticatieserver op het netwerk aanwezig is.
Wanneer een externe server gebruikers authenticeert, stuurt FortiGate de door de gebruiker ingevoerde inloggegevens naar die server. Deze server controleert op zijn beurt of dergelijke inloggegevens aanwezig zijn in zijn database. Zo ja, dan is de gebruiker succesvol geauthenticeerd in het systeem.
Het is de moeite waard om op te letten dat in dit geval de gebruikersreferenties niet op FortiGate worden opgeslagen en dat het authenticatieproces zelf plaatsvindt op een externe server.
Vermeldenswaard is ook het Fortinet Single Sign On-mechanisme. Hiermee kunt u transparante authenticatie van domeingebruikers op FortiGate organiseren met behulp van gegevens van domeincontrollers. Helaas valt de beschouwing van dit mechanisme buiten het bestek van onze cursus.
FortiGate ondersteunt vele soorten authenticatieservers zoals POP3, RADIUS, LDAP, TACAS+. We zullen kijken naar het werken met een LDAP-server.
De video behandelt de basistheorie, maar ook het werken met lokale gebruikers en de LDAP-server.
In de volgende les zullen we kijken naar het werken met logs, in het bijzonder zullen we kijken naar de mogelijkheden van de FortiAnalyzer-oplossing. Om het niet te missen, volg de updates op de volgende kanalen:
Bron: www.habr.com