ПроХостер > блог > Администрација > 10. Цхецк Поинт Геттинг Стартед Р80.20. Идентити Аваренесс

10. Цхецк Поинт Геттинг Стартед Р80.20. Идентити Аваренесс

10. Цхецк Поинт Геттинг Стартед Р80.20. Идентити Аваренесс

Добродошли на годишњицу - 10. лекција. А данас ћемо причати о још једној Цхецк Поинт оштрици - Идентити Аваренесс. На самом почетку, описујући НГФВ, утврдили смо да он мора бити у стању да регулише приступ на основу налога, а не ИП адреса. Ово је првенствено због повећане мобилности корисника и широко распрострањености модела БИОД – понесите свој уређај. У компанији може бити много људи који се повезују преко ВиФи-а, примају динамички ИП, па чак и из различитих сегмената мреже. Покушајте да креирате приступне листе на основу ИП бројева овде. Овде не можете без идентификације корисника. И то је оштрица за свесност идентитета која ће нам помоћи у овој ствари.

Али прво, хајде да схватимо за шта се најчешће користи идентификација корисника?

  1. Да ограничите приступ мрежи преко корисничких налога, а не преко ИП адреса. Приступ се може регулисати и једноставно на Интернет и на било који други сегмент мреже, на пример ДМЗ.
  2. Приступ преко ВПН-а. Слажете се да је кориснику много згодније да користи свој налог домена за ауторизацију, него другу измишљену лозинку.
  3. Да бисте управљали Цхецк Поинт-ом, потребан вам је и налог који може имати различита права.
  4. А најбољи део је извештавање. Много је лепше видети одређене кориснике у извештајима, а не њихове ИП адресе.

У исто време, Цхецк Поинт подржава две врсте налога:

  • Локални интерни корисници. Корисник се креира у локалној бази података сервера за управљање.
  • Екстерни корисници. База екстерних корисника може бити Мицрософт Ацтиве Дирецтори или било који други ЛДАП сервер.

Данас ћемо говорити о приступу мрежи. За контролу приступа мрежи, уз присуство Ацтиве Дирецтори-а, тзв Приступна улога, који омогућава три корисничке опције:

  1. мрежа - тј. мрежа на коју корисник покушава да се повеже
  2. Корисник АД или корисничка група — ови подаци се повлаче директно са АД сервера
  3. Машина - радна станица.

У овом случају, идентификација корисника се може извршити на неколико начина:

  • АД Куери. Цхецк Поинт чита евиденције АД сервера за аутентификоване кориснике и њихове ИП адресе. Рачунари који се налазе у АД домену се идентификују аутоматски.
  • Аутентификација заснована на претраживачу. Идентификација преко претраживача корисника (Цаптиве Портал или Транспарент Керберос). Најчешће се користи за уређаје који нису у домену.
  • Терминални сервери. У овом случају, идентификација се врши помоћу посебног терминалског агента (инсталираног на терминал серверу).

Ово су три најчешће опције, али постоје још три:

  • Идентити Агентс. На рачунарима корисника је инсталиран посебан агент.
  • Идентити Цоллецтор. Засебан услужни програм који је инсталиран на Виндовс Сервер-у и прикупља евиденције аутентификације уместо мрежног пролаза. У ствари, обавезна опција за велики број корисника.
  • РАДИУС Аццоунтинг. Па где бисмо ми били без доброг старог РАДИЈА.

У овом туторијалу ћу демонстрирати другу опцију - засновану на претраживачу. Мислим да је теорија довољна, пређимо на праксу.

Видео водич

Останите са нама за још и придружите нам се ИоуТубе канал ????

Извор: ввв.хабр.цом

Додај коментар