Saudações! Bem-vindo à oitava lição do curso . Em и Nas aulas conhecemos os perfis básicos de segurança, agora podemos liberar os usuários para a Internet, protegendo-os de vírus, limitando o acesso a recursos e aplicativos da web. Agora surge a questão sobre a administração de registros de usuários. Como fornecer acesso à Internet apenas para um determinado grupo de usuários? Como pode um grupo de utilizadores ser proibido de visitar determinados websites, enquanto outro pode ser autorizado? Como integrar soluções existentes de monitoramento de registros de usuários com o firewall FortiGate? Hoje vamos discutir essas questões e tentar fazer tudo na prática.
Primeiro, vamos dar uma olhada nos métodos de autenticação suportados pelo FortiGate.Existem essencialmente dois deles - local e remoto.
O método local é o método de autenticação mais simples. Neste caso, os dados do usuário são armazenados localmente no FortiGate. Os usuários locais podem ser combinados em grupos. E com base em usuários ou grupos, diferencie o acesso a diversos recursos.
Quando a autenticação remota é usada, os usuários são autenticados por servidores remotos. Este método é útil quando vários FortiGates precisam autenticar os mesmos usuários ou quando já existe um servidor de autenticação na rede.
Quando um servidor remoto autentica usuários, o FortiGate envia as credenciais inseridas pelo usuário para esse servidor. Este servidor, por sua vez, verifica se tais credenciais estão presentes em seu banco de dados. Se sim, o usuário foi autenticado com sucesso no sistema.
Vale atentar para o fato de que neste caso as credenciais do usuário não são armazenadas no FortiGate, e o próprio processo de autenticação ocorre em um servidor remoto.
Também vale a pena mencionar o mecanismo Fortinet Single Sign On. Ele permite organizar a autenticação transparente de usuários de domínio no FortiGate usando dados de controladores de domínio. Infelizmente, a consideração deste mecanismo está além do escopo do nosso curso.
FortiGate suporta muitos tipos de servidores de autenticação, como POP3, RADIUS, LDAP, TACAS+. Veremos como trabalhar com um servidor LDAP.
O vídeo aborda a teoria básica, bem como o trabalho com usuários locais e o servidor LDAP.
Na próxima lição veremos como trabalhar com logs, em particular veremos os recursos da solução FortiAnalyzer. Para não perder, acompanhe as atualizações nos seguintes canais:
Fonte: habr.com