База знаний

База Знаний

Документация

...

UserGate 5.x

UserGate 6.x

NGFW 6.1.x Руководство администратора

Введение

Первоначальная настройка

Лицензирование

Настройка устройства

Настройка сети

Пользователи и устройства

Пользователи и группы

Серверы аутентификации

Профили аутентификации

Настройка Captive-портала

Профили MFA (мультифакторной аутентификации)

Пользователи терминальных серверов

Прокси-агент для Windows

Управление гостевыми пользователями

Radius accounting

Политики BYOD

Агент аутентификации для Windows

Политики сети

Политики безопасности

Глобальный портал

Настройка VPN

Библиотеки элементов

Дашборд

Гостевой портал

Помощь

ADMIN

Диагностика и мониторинг

Журналы и отчеты

Приложения

Management Center 6.1.x Руководство администратора

Log Analyzer 6.1.x Руководство администратора

UserGate 7.x

Описание версий

Аппаратные платформы

Часто задаваемые вопросы

Обучающие материалы

Пользователи и группы

ID статьи: 95

Последнее обновление: 18 янв, 2024

Содержание:

Documentation:

Product: NGFW

Version: 5.x, 6.1.9, 7.0.1

Политики безопасности, правила межсетевого экрана, правила веб-безопасности и многие другие возможности NGFW могут быть применены к пользователям или группам пользователей. Возможность применения политик только к тем пользователям, которым это необходимо, позволяет администратору гибко настроить свою сеть в соответствии с потребностями организации.

Идентификация пользователя — это базисная функция NGFW. Пользователь считается идентифицированным, если система однозначно связала пользователя с IP-адресом устройства, с которого пользователь подключается к сети. NGFW использует различные механизмы для идентификации пользователей:

Идентификация по явно указанному IP-адресу
Идентификация по имени и паролю
Идентификация пользователей терминальных серверов Microsoft с помощью специального агента терминального сервиса
Идентификация пользователей с помощью агента авторизации (для Windows-систем)
Идентификация с помощью протоколов NTLM, Kerberos

Идентификация пользователей по имени и паролю возможна через Captive-портал, который, в свою очередь, может быть настроен на идентификацию пользователей с помощью каталогов Active Directory, Radius, TACACS+, NTLM, Kerberos или локальной базы пользователей.

NGFW определяет следующие типы пользователей:

Наименование	Описание
Пользователь Unknown	Представляет множество пользователей, не идентифицированных системой.
Пользователь Known	Представляет множество пользователей, идентифицированных системой. Методы идентификации пользователей могут быть различными и более подробно будут описаны далее в этой главе.
Пользователь Any	Любой пользователь является объединением множеств пользователей Known и Unknown.
Определенный пользователь	Конкретный пользователь, определенный и идентифицированный в системе, например, пользователь DOMAIN\User, идентифицированный с помощью авторизации в домене Active Directory.

Пользователи и группы пользователей могут быть заведены на самом устройстве NGFW — это так называемые локальные пользователи и группы или могут быть получены с внешних каталогов, например, Microsoft Active Directory.

Группы

Группы пользователей позволяют объединить пользователей для более удобного управления политиками безопасности.

Пользователи

В данном разделе можно добавить локальных пользователей. Здесь же можно временно отключить пользователей или включить их заново.

Обязательными параметрами для создания локального пользователя являются имя пользователя и логин. Остальные параметры являются необязательными, но для корректной идентификации необходимо указать:

Логин и пароль — для идентификации по имени и паролю. В этом случае потребуется настроить Captive-портал, где пользователь сможет ввести данное имя и пароль для авторизации.
IP-адрес или диапазон, MAC-адрес для идентификации с помощью комбинации MAC и IP-адресов. В данном случае необходимо обеспечить, чтобы данный пользователь всегда получал доступ в сеть с указанных MAC и/или IP-адреса.
VLAN ID для идентификации пользователя по тегу VLAN. В данном случае необходимо обеспечить, чтобы данный пользователь всегда получал доступ в сеть с указанного VLAN.
Почтовые адреса — email пользователя. Если указан, может быть использован для отсылки пользователю информации по электронной почте, например, 2-й фактор многофакторной организации.
Номера телефонов — телефоны пользователя. Если указан, может быть использован для отсылки пользователю информации по SMS, например, 2-й фактор многофакторной организации.

В случае, если у пользователя указан и логин, и пароль, и IP/MAC/VLAN адреса, система использует идентификацию по адресу, то есть идентификация по адресу является более приоритетной.

Учетные записи пользователей LDAP здесь не отображаются, но эти пользователи также могут быть использованы в политиках безопасности.