04.03.2013 Views

NetdefendOS_2.27.01_Firewall_User_Manual_RUS

NetdefendOS_2.27.01_Firewall_User_Manual_RUS

NetdefendOS_2.27.01_Firewall_User_Manual_RUS

SHOW MORE
SHOW LESS

You also want an ePaper? Increase the reach of your titles

YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.

Система NetDefendOS может выступать в роли клиента RADIUS, отсылая учетные записи<br />

пользователей с параметрами доступа в RADIUS-сообщениях, предназначенных RADIUS-серверу.<br />

Сервер обрабатывает запросы и отправляет ответные RADIUS-сообщения с разрешением или<br />

запретом доступа для пользователей. В системе NetDefendOS можно определить один или несколько<br />

внешних серверов.<br />

Безопасность с RADIUS<br />

Для обеспечения безопасности часто устанавливается секретный ключ (shared secret) для<br />

совместного использования RADIUS-клиентом и RADIUS-сервером. Ключ активирует шифрование<br />

сообщений, пересылаемых от RADIUS-клиента к серверу, и имеет вид достаточно длинной текстовой<br />

строки. Строка может содержать до 100 символов и должна вводиться с учетом регистра клавиатуры.<br />

RADIUS использует PPP для передачи запросов с именем пользователя и паролем от клиента к<br />

RADIUS-серверу, а также использует схемы аутентификации PPP, такие как PAP и CHAP. RADIUSсообщения<br />

посылаются в виде UDP-сообщений через порт UDP 1812.<br />

Поддержка групп пользователей<br />

RADIUS-аутентификация поддерживает перечень групп пользователей. Пользователь может также<br />

быть определен в группе administrators или группе auditors.<br />

8.2.4. Внешние серверы LDAP<br />

Серверы LDAP (Lightweight Directory Access Protocol – облегчённый протокол доступа к каталогам)<br />

могут использоваться системой NetDefendOS в качестве источника аутентификации. В такой<br />

реализации межсетевой экран NetDefend выполняет функции клиента по отношению к одному или<br />

нескольким LDAP-серверам. Конфигурируется несколько альтернативных серверов, на случай, если<br />

некоторые серверы будут недоступны.<br />

Настройка LDAP-аутентификации<br />

Существует два этапа настройки аутентификации пользователя с помощью LDAP-серверов.<br />

• Определение одного или нескольких LDAP-серверов для аутентификации пользователя в<br />

системе NetDefendOS.<br />

• Указание одного или нескольких этих LDAP-серверов в правиле аутентификации<br />

пользователя.<br />

Если LDAP-серверов несколько, в правиле аутентификации они указываются списком. То, в<br />

каком порядке серверы указаны в списке, определяет последовательность обращения к ним.<br />

Первый сервер из списка имеет наивысший приоритет и будет использоваться первым. Если<br />

аутентификация не выполнена или сервер недоступен, то будет использоваться второй<br />

сервер из списка и так далее.<br />

Вопросы, касающиеся LDAP<br />

Настройка LDAP-аутентификации бывает не такой простой как, например, настройка RADIUS.<br />

Параметры, используемые при определении LDAP-сервера в системе NetDefendOS, имеют большое<br />

значение. Ряд вопросов требует особого внимания:<br />

• LDAP-серверы отличаются по реализации. Система NetDefendOS предоставляет<br />

возможность разных вариантов конфигурации LDAP-серверов, и некоторые опции в<br />

различных конфигурациях могут меняться в зависимости от программного обеспечения<br />

сервера.<br />

• Аутентификация PPTP- или L2TP-клиентов может требовать внесения некоторых изменений<br />

в настройки LDAP-сервера. Этот вопрос будет рассмотрен далее.<br />

Microsoft Active Directory в качестве LDAP-сервера<br />

Служба Active Directory от компании Microsoft может конфигурироваться в системе NetDefendOS как<br />

LDAP-сервер. В настройке LDAP-сервера системы NetDefendOS имеется опция, которая имеет<br />

значение для Active Directory – атрибут «имя» (Name Attribute). Данной опции следует установить<br />

значение SAMAccountName.<br />

351

Hooray! Your file is uploaded and ready to be published.

Saved successfully!

Ooh no, something went wrong!