NetdefendOS_2.27.01_Firewall_User_Manual_RUS
NetdefendOS_2.27.01_Firewall_User_Manual_RUS
NetdefendOS_2.27.01_Firewall_User_Manual_RUS
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
Система NetDefendOS может выступать в роли клиента RADIUS, отсылая учетные записи<br />
пользователей с параметрами доступа в RADIUS-сообщениях, предназначенных RADIUS-серверу.<br />
Сервер обрабатывает запросы и отправляет ответные RADIUS-сообщения с разрешением или<br />
запретом доступа для пользователей. В системе NetDefendOS можно определить один или несколько<br />
внешних серверов.<br />
Безопасность с RADIUS<br />
Для обеспечения безопасности часто устанавливается секретный ключ (shared secret) для<br />
совместного использования RADIUS-клиентом и RADIUS-сервером. Ключ активирует шифрование<br />
сообщений, пересылаемых от RADIUS-клиента к серверу, и имеет вид достаточно длинной текстовой<br />
строки. Строка может содержать до 100 символов и должна вводиться с учетом регистра клавиатуры.<br />
RADIUS использует PPP для передачи запросов с именем пользователя и паролем от клиента к<br />
RADIUS-серверу, а также использует схемы аутентификации PPP, такие как PAP и CHAP. RADIUSсообщения<br />
посылаются в виде UDP-сообщений через порт UDP 1812.<br />
Поддержка групп пользователей<br />
RADIUS-аутентификация поддерживает перечень групп пользователей. Пользователь может также<br />
быть определен в группе administrators или группе auditors.<br />
8.2.4. Внешние серверы LDAP<br />
Серверы LDAP (Lightweight Directory Access Protocol – облегчённый протокол доступа к каталогам)<br />
могут использоваться системой NetDefendOS в качестве источника аутентификации. В такой<br />
реализации межсетевой экран NetDefend выполняет функции клиента по отношению к одному или<br />
нескольким LDAP-серверам. Конфигурируется несколько альтернативных серверов, на случай, если<br />
некоторые серверы будут недоступны.<br />
Настройка LDAP-аутентификации<br />
Существует два этапа настройки аутентификации пользователя с помощью LDAP-серверов.<br />
• Определение одного или нескольких LDAP-серверов для аутентификации пользователя в<br />
системе NetDefendOS.<br />
• Указание одного или нескольких этих LDAP-серверов в правиле аутентификации<br />
пользователя.<br />
Если LDAP-серверов несколько, в правиле аутентификации они указываются списком. То, в<br />
каком порядке серверы указаны в списке, определяет последовательность обращения к ним.<br />
Первый сервер из списка имеет наивысший приоритет и будет использоваться первым. Если<br />
аутентификация не выполнена или сервер недоступен, то будет использоваться второй<br />
сервер из списка и так далее.<br />
Вопросы, касающиеся LDAP<br />
Настройка LDAP-аутентификации бывает не такой простой как, например, настройка RADIUS.<br />
Параметры, используемые при определении LDAP-сервера в системе NetDefendOS, имеют большое<br />
значение. Ряд вопросов требует особого внимания:<br />
• LDAP-серверы отличаются по реализации. Система NetDefendOS предоставляет<br />
возможность разных вариантов конфигурации LDAP-серверов, и некоторые опции в<br />
различных конфигурациях могут меняться в зависимости от программного обеспечения<br />
сервера.<br />
• Аутентификация PPTP- или L2TP-клиентов может требовать внесения некоторых изменений<br />
в настройки LDAP-сервера. Этот вопрос будет рассмотрен далее.<br />
Microsoft Active Directory в качестве LDAP-сервера<br />
Служба Active Directory от компании Microsoft может конфигурироваться в системе NetDefendOS как<br />
LDAP-сервер. В настройке LDAP-сервера системы NetDefendOS имеется опция, которая имеет<br />
значение для Active Directory – атрибут «имя» (Name Attribute). Данной опции следует установить<br />
значение SAMAccountName.<br />
351