Приветствую! Добро пожаловать на восьмой урок курса . Trên и уроках мы познакомились с основными профилями безопасности, теперь мы можем выпускать пользователей в Интернет, защищая их от вирусов, разграничивая доступ к веб ресурсам и приложениям. Теперь встает вопрос об администрировании пользовательских записей. Как обеспечить доступ в Интернет только определенной группе пользователей? Как одной группе пользователей запретить посещать определенные веб сайты, а другой разрешить? Как синтегрировать существующие решения по контролю пользовательских записей с межсетевым экраном FortiGate? Сегодня мы обсудим эти вопросы и постараемся проделать все на практике.
Для начала рассмотрим методы аутентификации, которые поддерживает FortiGate, Их по сути два — локальный и удаленный.
Локальный метод является простейшим методом аутентификации. В таком случае данные о пользователе хранятся локально на FortiGate. Локальных пользователей можно объединять в группы. И на основе пользователей или групп разграничивать доступ к различным ресурсам.
Когда используется удаленная аутентификация, пользователей аутентифицируют удаленные сервера. Этот метод полезен, когда нескольким FortiGate необходимо аутентифицировать одних и тех же пользователей, или же в том случае, когда в сети уже присутствует сервер аутентификации.
Когда удаленный сервер аутентифицирует пользователей, FortiGate отправляет на этот сервер введенные пользователем учетные данные. Данный сервер в свою очередь проверяет, присутствуют ли такие учетные данные в его базе. Если да, пользователь успешно аутентифицируется в системе.
Стоит обратить внимание на то, что в таком случае учетные данные пользователей не хранятся на FortiGate, а сам процесс аутентификации проходит на удаленном сервере.
Стоит также упомянуть о механизме Fortinet Single Sign On. Он позволяет организовать прозрачную аутентификацию пользователей домена на FortiGate, используя данные с контроллеров домена. К сожалению, рассмотрение этого механизма выходит за рамки нашего курса.
FortiGate поддерживает множество типов серверов аутентификации, таких как POP3, RADIUS, LDAP, TACAS+. Мы же рассмотрим работу с LDAP сервером.
В видео рассмотрена основная теория, а также работа с локальными пользователями и LDAP сервером.
В следующем уроке мы рассмотрим работу с логами, в частности рассмотрим возможности решения FortiAnalyzer. Чтобы не пропустить его, следите за обновлениями на следующих каналах:
Nguồn: www.habr.com