Hilsener! Velkommen til den åttende leksjonen på kurset . På и I leksjonene ble vi kjent med de grunnleggende sikkerhetsprofilene, nå kan vi frigjøre brukere til Internett, beskytte dem mot virus, begrense tilgangen til nettressurser og applikasjoner. Nå oppstår spørsmålet om administrasjon av brukerposter. Hvordan gi Internett-tilgang til bare en bestemt gruppe brukere? Hvordan kan en gruppe brukere få forbud mot å besøke bestemte nettsteder, mens en annen kan tillates? Hvordan integrere eksisterende overvåkingsløsninger for brukeroppføringer med FortiGate-brannmuren? I dag skal vi diskutere disse problemene og prøve å gjøre alt i praksis.
La oss først se på autentiseringsmetodene som FortiGate støtter. Det er i hovedsak to av dem - lokale og eksterne.
Den lokale metoden er den enkleste autentiseringsmetoden. I dette tilfellet lagres brukerdata lokalt på FortiGate. Lokale brukere kan grupperes. Og på grunnlag av brukere eller grupper, differensier tilgang til ulike ressurser.
Når ekstern autentisering brukes, blir brukere autentisert av eksterne servere. Denne metoden er nyttig når flere FortiGates trenger å autentisere de samme brukerne, eller når det allerede er en autentiseringsserver på nettverket.
Når en ekstern server autentiserer brukere, sender FortiGate den brukeroppgitte legitimasjonen til den serveren. Denne serveren sjekker på sin side om slik legitimasjon finnes i databasen. Hvis ja, er brukeren autentisert inn i systemet.
Det er verdt å ta hensyn til det faktum at i dette tilfellet lagres ikke brukerlegitimasjon på FortiGate, og selve autentiseringsprosessen foregår på en ekstern server.
Det er også verdt å nevne Fortinet Single Sign On-mekanismen. Den lar deg organisere gjennomsiktig autentisering av domenebrukere på FortiGate ved å bruke data fra domenekontrollere. Dessverre er vurderingen av denne mekanismen utenfor rammen av kurset vårt.
FortiGate støtter mange typer autentiseringsservere som POP3, RADIUS, LDAP, TACAS+. Vi skal se på å jobbe med en LDAP-server.
Videoen dekker den grunnleggende teorien, samt arbeid med lokale brukere og LDAP-serveren.
I neste leksjon skal vi se på arbeid med logger, spesielt vil vi se på egenskapene til FortiAnalyzer-løsningen. For ikke å gå glipp av det, følg oppdateringene på følgende kanaler:
Kilde: www.habr.com