Cześć! Witamy w ósmej lekcji kursu. . Na и Na lekcjach zapoznaliśmy się z podstawowymi profilami bezpieczeństwa, teraz możemy wypuścić użytkowników do Internetu, chroniąc ich przed wirusami, ograniczając dostęp do zasobów sieciowych i aplikacji. Teraz pojawia się kwestia administrowania rekordami użytkowników. Jak zapewnić dostęp do Internetu tylko określonej grupie użytkowników? Jak zabronić jednej grupie użytkowników odwiedzania określonych stron internetowych, a zezwolić innej? Jak zintegrować istniejące rozwiązania do kontroli rekordów użytkowników z zaporą FortiGate? Dzisiaj omówimy te kwestie i spróbujemy zrobić wszystko w praktyce.
Najpierw przyjrzyjmy się metodom uwierzytelniania obsługiwanym przez FortiGate. Są zasadniczo dwie z nich - lokalna i zdalna.
Metoda lokalna jest najprostszą metodą uwierzytelniania. W tym przypadku dane użytkownika są przechowywane lokalnie na FortiGate. Lokalnych użytkowników można łączyć w grupy. A na podstawie użytkowników lub grup można różnicować dostęp do różnych zasobów.
Gdy używane jest uwierzytelnianie zdalne, użytkownicy są uwierzytelniani przez serwery zdalne. Ta metoda jest przydatna, gdy wiele FortiGates musi uwierzytelnić tych samych użytkowników lub gdy serwer uwierzytelniania jest już obecny w sieci.
Gdy zdalny serwer uwierzytelnia użytkowników, FortiGate wysyła dane uwierzytelniające użytkownika do zdalnego serwera. Zdalny serwer sprawdza, czy dane uwierzytelniające znajdują się w jego bazie danych. Jeśli tak, użytkownik jest pomyślnie uwierzytelniany w systemie.
Warto zauważyć, że w tym przypadku dane uwierzytelniające użytkownika nie są przechowywane na FortiGate, a sam proces uwierzytelniania odbywa się na zdalnym serwerze.
Warto również wspomnieć o mechanizmie Fortinet Single Sign On. Umożliwia on transparentne uwierzytelnianie użytkowników domeny na FortiGate przy użyciu danych z kontrolerów domeny. Niestety, rozważania na temat tego mechanizmu wykraczają poza zakres naszego kursu.
FortiGate obsługuje wiele typów serwerów uwierzytelniania, takich jak POP3, RADIUS, LDAP, TACAS+. Rozważymy pracę z serwerem LDAP.
Film przedstawia podstawową teorię oraz pracę z użytkownikami lokalnymi i serwerem LDAP.
W następnej lekcji zajmiemy się pracą z logami, w szczególności rozważymy możliwości rozwiązania FortiAnalyzer. Aby nie przegapić tej lekcji, śledź aktualizacje na następujących kanałach:
Źródło: www.habr.com
