ProHoster > Blog > administratë > 10. Kontrolloni pikën për të filluar R80.20. Ndërgjegjësimi i identitetit

10. Kontrolloni pikën për të filluar R80.20. Ndërgjegjësimi i identitetit

10. Kontrolloni pikën për të filluar R80.20. Ndërgjegjësimi i identitetit

Mirë se vini në përvjetorin - mësimi i 10-të. Dhe sot do të flasim për një teh tjetër Check Point - Ndërgjegjësimi i identitetit. Në fillim, kur përshkruam NGFW, ne përcaktuam se ai duhet të jetë në gjendje të rregullojë aksesin bazuar në llogari, jo në adresat IP. Kjo është kryesisht për shkak të rritjes së lëvizshmërisë së përdoruesve dhe përhapjes së gjerë të modelit BYOD - sillni pajisjen tuaj. Mund të ketë shumë njerëz në një kompani që lidhen me WiFi, marrin një IP dinamike, madje edhe nga segmente të ndryshme të rrjetit. Provoni të krijoni lista aksesi bazuar në numrat IP këtu. Këtu nuk mund të bëni pa identifikimin e përdoruesit. Dhe është tehu i Ndërgjegjësimit të Identitetit që do të na ndihmojë në këtë çështje.

Por së pari, le të kuptojmë se për çfarë përdoret më shpesh identifikimi i përdoruesit?

  1. Për të kufizuar aksesin në rrjet nga llogaritë e përdoruesve dhe jo nga adresat IP. Qasja mund të rregullohet thjesht në internet dhe në çdo segment tjetër të rrjetit, për shembull DMZ.
  2. Qasje përmes VPN. Pajtohu se është shumë më i përshtatshëm për përdoruesin të përdorë llogarinë e tij të domenit për autorizim, sesa një fjalëkalim tjetër të shpikur.
  3. Për të menaxhuar Check Point, ju duhet gjithashtu një llogari që mund të ketë të drejta të ndryshme.
  4. Dhe pjesa më e mirë është raportimi. Është shumë më mirë të shohësh përdorues të veçantë në raporte sesa adresat e tyre IP.

Në të njëjtën kohë, Check Point mbështet dy lloje llogarish:

  • Përdoruesit e Brendshëm Lokal. Përdoruesi krijohet në bazën e të dhënave lokale të serverit të menaxhimit.
  • Përdoruesit e Jashtëm. Microsoft Active Directory ose çdo server tjetër LDAP mund të veprojë si një bazë përdoruesi e jashtme.

Sot do të flasim për aksesin në rrjet. Për të kontrolluar aksesin në rrjet, në prani të Active Directory, i ashtuquajturi Roli i qasjes, i cili lejon tre opsione të përdoruesit:

  1. Rrjet - d.m.th. rrjeti me të cilin përdoruesi po përpiqet të lidhet
  2. Përdoruesi i AD ose Grupi i Përdoruesve — këto të dhëna nxirren direkt nga serveri AD
  3. Makinë - stacioni i punës.

Në këtë rast, identifikimi i përdoruesit mund të kryhet në disa mënyra:

  • Pyetja e AD. Check Point lexon regjistrat e serverit AD për përdoruesit e vërtetuar dhe adresat e tyre IP. Kompjuterët që janë në domenin AD identifikohen automatikisht.
  • Autentifikimi i bazuar në shfletues. Identifikimi përmes shfletuesit të përdoruesit (Captive Portal ose Transparent Kerberos). Më shpesh përdoret për pajisjet që nuk janë në një domen.
  • Serverët e Terminalit. Në këtë rast, identifikimi kryhet duke përdorur një agjent të posaçëm terminal (të instaluar në serverin e terminalit).

Këto janë tre opsionet më të zakonshme, por ka edhe tre të tjera:

  • Agjentët e identitetit. Një agjent special është instaluar në kompjuterët e përdoruesve.
  • Koleksionist i identitetit. Një mjet i veçantë që është i instaluar në Windows Server dhe mbledh regjistrat e vërtetimit në vend të portës. Në fakt, një opsion i detyrueshëm për një numër të madh përdoruesish.
  • Kontabiliteti RADIUS. Epo, ku do të ishim pa RADIUS-in e vjetër të mirë.

Në këtë tutorial do të demonstroj opsionin e dytë - Bazuar në Browser. Mendoj se mjafton teoria, le të kalojmë në praktikë.

Video mësimi

Qëndroni të sintonizuar për më shumë dhe bashkohuni me ne YouTube channel 🙂

Burimi: www.habr.com

Shto një koment