„Проектиране на корпоративна vpn мрежа
Управление на достъпа до системата и потребителски акаунти
Изтегляне 2.17 Mb.
|
| Управление на достъпа до системата и потребителски акаунти
Вградените възможности на системата позволяват три метода за аутентикация на потребители – 1. Чрез създаване на акаунти в локална база данни 2. Аутентикация чрез външен LDAP сървър 3. Аутентикация чрез външен RADIUS сървър Под потребител в случая имаме предвид системен администратор или оператор, който управлява настройките на защитната стена или извършва диагностика. Важно е да се отбележи, че достъпът до системата се осъществява по два начина - чрез терминал/SSH, където потребителите имат достъп до UNIX шел (bin/sh) и може да изпълняват всички команди, които системата поддържа; и чрез WebUI интерфейс, разделен на менюта и подстраници. Част от страниците позволяват промяна на системните настройки чрез различни форми, докато други предостявят само информация за състоянието на системата. Трети позволяват изпълнението на различни приложения за диагностика, като използването на предоставените възможности може да се отрази на текущото състояние на системата (например използва се повече мрежови ресурс при стартиране на командата iperf за проверка на пропускливостта на комуникационен канал), но не се отразява дългосрочно на услугите предоставени на потребителите в локалната мрежа зад защитната стена. WebUI интерфейсът е много удобен и интиутивен за ползване дори и от начинаещи потребители – когато потребителят се опита да запази несъвместима или непълна конфигурация, обикновено системата дава съобщение за грешка; докато достъпът до системата чрез терминал/SSH изисква много добри познания на UNIX шел-а, възможностите на системата и начина по който работи. Предполага се, че достъп до терминал/SSH има само един или няколко много опитни системни администратори и такъв достъп се налага само когато даден проблем не може да бъде разрешен през WebUI интерфейса (например, няма връзка от локалната мрежа до защитната стена, а пакетния филтър е настоен да блокира всички заявки до HTTPS/HTTP порт-а на защитната стена от външния интерфейс). В описанието на системата са представени възможностите на WebUI интерфейса, като където е необходимо са описани и еквивалентните команди в UNIX шел-а. Системата позволява създаването на групи от потребители и списъци за управление на достъпа до различни части от WebUI интерфейса за всяка група. Всеки потребител наследява правата за достъп дадени на групата, към която принадлежи, като могат да му бъдат делегирани нови права за достъп или наложени допълнителни ограничения. Всеки потребител трябва да е член на поне една група, а системата позволява даден потребител да е член на няколко групи едновременно. Всеки потребител се характеризира със следните полета (незадължителните полета са маркирани със *) • Потребителско име, парола и пълно име на потребителя • Срок на изтичане на валидността на акаунта (възможно е да има акаунти, чиято валидност никога не изтича) • Списък от групи, на които потребителят е член • Списък от ефективни права за достъп до различните части на WebUI интерфейса • Списък от сертификати на потребителя * • Списък от ауторизирани SSH ключове * (когато на съответния потребител трябва да бъде предоставен SSH достъп до системата) • IPsec Pre-Shared Key* Паролите на потребителите се съхраняват в глобален конфигурационен файл като паролите биват еднопосочно криптирани с MD5 хеш функция. Системата позволява използането на повече от един метод за аутентикация едновременно. Ако за даден потребител има конфигурирани сертификати, то има възможност за интегрирането им при настройките на VPN достъп за този потребител. Изтегляне 2.17 Mb. Сподели с приятели:
|