问候! 欢迎来到本课程的第八课 。 上 и 在课程中我们熟悉了基本的安全配置文件,现在我们可以将用户释放到互联网上,保护他们免受病毒侵害,限制对网络资源和应用程序的访问。 现在出现了有关管理用户记录的问题。 如何只向特定用户群提供互联网访问权限? 如何禁止一组用户访问某些网站,而允许另一组用户访问某些网站? 如何将现有的用户记录监控解决方案与FortiGate防火墙集成? 今天我们就来探讨一下这些问题,并力图一切在实践中去做。
首先,让我们看一下FortiGate支持的身份验证方法,主要有两种:本地和远程。
本地方法是最简单的认证方法。 在这种情况下,用户数据存储在 FortiGate 本地。 本地用户可以组合成组。 并根据用户或组,区分对各种资源的访问。
当使用远程认证时,用户通过远程服务器进行认证。 当多个 FortiGate 需要对同一用户进行身份验证,或者网络上已经存在身份验证服务器时,此方法非常有用。
当远程服务器对用户进行身份验证时,FortiGate 会将用户输入的凭据发送到该服务器。 该服务器反过来检查其数据库中是否存在此类凭据。 如果是,则用户已成功通过系统身份验证。
值得注意的是,在这种情况下,用户凭据不会存储在 FortiGate 上,并且身份验证过程本身发生在远程服务器上。
还值得一提的是 Fortinet 单点登录机制。 它允许您使用来自域控制器的数据在 FortiGate 上组织域用户的透明身份验证。 不幸的是,对这种机制的考虑超出了我们课程的范围。
FortiGate 支持多种类型的身份验证服务器,例如 POP3、RADIUS、LDAP、TACAS+。 我们将研究如何使用 LDAP 服务器。
该视频涵盖了基本理论,以及如何使用本地用户和 LDAP 服务器。
在下一课中,我们将了解日志的使用,特别是 FortiAnalyzer 解决方案的功能。 为了不错过,请关注以下渠道的更新:
来源: habr.com