Вітаю! Ласкаво просимо на восьмий урок курсу . На и Уроки ми познайомилися з основними профілями безпеки, тепер ми можемо випускати користувачів в Інтернет, захищаючи їх від вірусів, розмежовуючи доступ до веб-ресурсів і програм. Тепер постає питання про адміністрування записів користувача. Як забезпечити доступ до Інтернету лише певній групі користувачів? Як одній групі користувачів заборонити відвідувати певні веб-сайти, а іншій дозволити? Як синтегрувати існуючі рішення з контролю записів користувача з міжмережевим екраном FortiGate? Сьогодні ми обговоримо ці питання і намагатимемося зробити все на практиці.
Для початку розглянемо методи аутентифікації, які підтримує FortiGate, їх по суті два – локальний та віддалений.
Локальний метод є найпростішим методом автентифікації. У такому разі дані про користувача зберігаються локально на FortiGate. Локальних користувачів можна об'єднувати у групи. І на основі користувачів чи груп розмежовувати доступ до різних ресурсів.
Коли використовується віддалена автентифікація, користувачі автентифікують віддалені сервери. Цей метод корисний, коли кільком FortiGate необхідно аутентифікувати одних і тих самих користувачів, або в тому випадку, коли в мережі вже є сервер аутентифікації.
Коли віддалений сервер автентифікує користувачів, FortiGate відправляє на цей сервер облікові дані, що введені користувачем. Даний сервер у свою чергу перевіряє, чи є такі облікові дані в його базі. Якщо так, користувач успішно автентифікується у системі.
Варто звернути увагу на те, що облікові дані користувачів не зберігаються на FortiGate, а сам процес аутентифікації проходить на віддаленому сервері.
Варто також згадати механізм Fortinet Single Sign On. Він дозволяє організувати прозору автентифікацію користувачів домену FortiGate, використовуючи дані з контролерів домену. На жаль, розгляд цього механізму виходить за межі нашого курсу.
FortiGate підтримує багато типів серверів автентифікації, таких як POP3, RADIUS, LDAP, TACAS+. Ми розглянемо роботу з LDAP сервером.
У відео розглянуто основну теорію, а також роботу з локальними користувачами та LDAP сервером.
У наступному уроці ми розглянемо роботу з логами, зокрема, розглянемо можливості рішення FortiAnalyzer. Щоб не пропустити його, слідкуйте за оновленнями на наступних каналах:
Джерело: habr.com