Pozdrowienia! Witamy na ósmej lekcji kursu . Na и Na lekcjach zapoznaliśmy się z podstawowymi profilami bezpieczeństwa, teraz możemy udostępnić użytkownikom Internet, chroniąc ich przed wirusami, ograniczając dostęp do zasobów sieciowych i aplikacji. Teraz pojawia się pytanie o administrowanie rekordami użytkowników. Jak zapewnić dostęp do Internetu tylko określonej grupie użytkowników? W jaki sposób jednej grupie użytkowników można zabronić odwiedzania określonych stron internetowych, a innej pozwolić? Jak zintegrować istniejące rozwiązania do monitorowania rekordów użytkowników z zaporą FortiGate? Dzisiaj omówimy te kwestie i spróbujemy zrobić wszystko w praktyce.
Na początek przyjrzyjmy się metodom uwierzytelniania obsługiwanym przez FortiGate – zasadniczo są dwie z nich – lokalna i zdalna.
Metoda lokalna jest najprostszą metodą uwierzytelniania. W takim przypadku dane użytkownika są przechowywane lokalnie w FortiGate. Lokalnych użytkowników można łączyć w grupy. I na podstawie użytkowników lub grup różnicuj dostęp do różnych zasobów.
Gdy używane jest uwierzytelnianie zdalne, użytkownicy są uwierzytelniani przez serwery zdalne. Ta metoda jest przydatna, gdy wiele FortiGate musi uwierzytelnić tych samych użytkowników lub gdy w sieci istnieje już serwer uwierzytelniający.
Kiedy zdalny serwer uwierzytelnia użytkowników, FortiGate wysyła wprowadzone przez użytkownika poświadczenia do tego serwera. Serwer ten z kolei sprawdza, czy w jego bazie danych znajdują się takie dane uwierzytelniające. Jeśli tak, użytkownik został pomyślnie uwierzytelniony w systemie.
Warto zwrócić uwagę na fakt, że w tym przypadku dane uwierzytelniające użytkownika nie są przechowywane na FortiGate, a sam proces uwierzytelniania odbywa się na zdalnym serwerze.
Warto również wspomnieć o mechanizmie Fortinet Single Sign On. Pozwala na zorganizowanie przejrzystego uwierzytelniania użytkowników domeny w FortiGate przy użyciu danych z kontrolerów domeny. Niestety, rozważenie tego mechanizmu wykracza poza zakres naszego kursu.
FortiGate obsługuje wiele typów serwerów uwierzytelniających, takich jak POP3, RADIUS, LDAP, TACAS+. Przyjrzymy się pracy z serwerem LDAP.
Film omawia podstawową teorię, a także pracę z użytkownikami lokalnymi i serwerem LDAP.
Na kolejnej lekcji przyjrzymy się pracy z logami, w szczególności przyjrzymy się możliwościom rozwiązania FortiAnalyzer. Aby tego nie przegapić, śledź aktualizacje na następujących kanałach:
Źródło: www.habr.com