NetdefendOS_2.27.01_Firewall_User_Manual_RUS
NetdefendOS_2.27.01_Firewall_User_Manual_RUS NetdefendOS_2.27.01_Firewall_User_Manual_RUS
Определение LDAP-сервера В системе NetDefendOS могут быть определены один или несколько объектов «LDAP-сервер». Эти объекты содержат информацию для системы NetDefendOS о том, какие LDAP-серверы доступны, и как к ним получить доступ. Иногда бывает не так просто определить LDAP-сервер в системе NetDefendOS, т.к. некоторое программное обеспечение для LDAP-серверов не всегда точно соответствует техническим условиям LDAP. LDAP-администратор может внести изменения в схему (schema) LDAP-сервера так, чтобы изменилось имя LDAP-атрибута (attribute). LDAP-атрибуты Некоторые значения, используемые при определении LDAP, являются атрибутами. А именно: • атрибут «Имя» (Name); • атрибут «Принадлежность» (Membership); • атрибут «Пароль» (Password). LDAP-атрибут (LDAP attribute) – это пара значений, состоящая из имени атрибута (в данном руководстве будем называть его идентификатором) и значения атрибута. В качестве примера можно привести атрибут «имя пользователя», который представляет собой пару значений и состоит из идентификатора «имя пользователя» и значения «Смит». Эти атрибуты могут использоваться по-разному, и их значение для LDAP-сервера обычно определяется схемой базы данных сервера. Схема базы данных может меняться администратором с целью внесения изменений в атрибуты. Общие настройки Для конфигурирования каждого сервера используются следующие общие настройки. • Имя (Name) Имя, присвоенное объекту «сервер» для ссылок на него в системе NetDefendOS. Например, в системе NetDefendOS могут быть определены правила, ссылающиеся на это имя. Это значение не имеет ничего общего с атрибутом «имя», о котором будет сказано далее. Это значение используется системой NetDefendOS, а не LDAP-сервером. • IP-адрес (IP Address) IP-адрес LDAP-сервера. • Порт (Port) Номер порта LDAP-сервера, на котором сервер принимает запросы клиентов, отправленные с использованием TCP/IP. По умолчанию порт 389. • Тайм-аут (Timeout) Время в секундах, которое дается на попытку аутентификации пользователя LDAPсервером. Если через указанное время от сервера не приходит ответ на запрос, сервер считается недоступным. Тайм-аут по умолчанию составляет 5 секунд. • Атрибут «имя» (Name Attribute) Атрибут «имя» – это идентификатор поля данных LDAP-сервера содержащий имя пользователя. Значением по умолчанию в системе NetDefendOS является uid, который является корректным для большинства серверов на базе UNIX. При использовании Microsoft Active Directory, атрибуту «имя» должно быть присвоено 352
значение SAMAccountName (вводится без учета регистра клавиатуры). При просмотре информации о пользователе в Active Directory, значение имени пользователя при входе в систему определяется в поле SAMAccountName на вкладке Account. Примечание: База данных LDAP-сервера устанавливает соответствующее значение идентификатора Определение пары значений атрибута и схемы базы данных LDAP-сервера устанавливает соответствующее значение идентификатора. • Поиск принадлежности к группе (Retrieve Group Membership) Эта опция определяет, должны ли группы, к которым принадлежит пользователь быть определены с LDAP-сервера. Имя группы часто используется при предоставлении пользователю доступа к какому-либо сервису после удачной регистрации. Если опция поиска принадлежности к группе активирована, то также должен быть установлен атрибут «принадлежность». • Атрибут «принадлежность» (Membership Attribute) Атрибут «принадлежность» определяет, в какую группу входит пользователь. Принадлежность к группе в данном случае аналогична принадлежности пользователя к одной из групп с правами администратора (группа administrators и группа revisors) базы данных системы NetDefendOS. Этот атрибут также является парой значений, определенной схемой базы данных сервера. Значением идентификатора данного атрибута по умолчанию является MemberOf. В службе каталогов Microsoft Active Directory группы, к которым принадлежит пользователь, можно просмотреть на вкладке MemberOf, которая содержит информацию о пользователе. • Использование доменного имени (Use Domain Name) Некоторым серверам для осуществления успешной аутентификации требуется к имени пользователя добавлять доменное имя. Доменное имя – это имя узла, в качестве которого выступает LDAP-сервер, например, myldapserver. У параметра Use Domain Name могут быть следующие варианты значений: а) None – при таком значении параметра имя пользователя никак не меняется. Например, testuser. б) Username Prefix – при таком значении параметра во время аутентификации доменное имя ставится перед именем пользователя. Например, myldapserver/testuser. в) Username Postfix – при таком значении параметра во время аутентификации после имени пользователя добавляется символ «@» и доменное имя. Например, testuser@myldapserver. Если выбрано значение параметра отличное от None, доменное имя должно быть определено. Разные LDAP-серверы могут обрабатывать доменное имя по-разному, это зависит от технических требований определенного сервера. В большинстве версий Windows Active Directory следует использовать вариант Postfix. • Таблица маршрутизации (Routing Table) Это таблица маршрутизации системы NetDefendOS, в которой выполняется поиск соответствующего маршрута по IP-адресу сервера. Таблицей маршрутизации по умолчанию является главная таблица маршрутизации main. Настройки базы данных Существуют следующие настройки базы данных. • Базовый объект (Base Object) 353
- Page 301 and 302: Категория 22: Клубы
- Page 303 and 304: Пример 6.18. Отправка
- Page 305 and 306: 6.4.2. Реализация Пот
- Page 307 and 308: 6.4.6. Функции Антиви
- Page 309 and 310: коммутаторах, так к
- Page 311 and 312: 6.5.2. Система IDP и уст
- Page 313 and 314: 3. Это изменение нас
- Page 315 and 316: NetDefendOS автоматичес
- Page 317 and 318: Списки групп IDP Спи
- Page 319 and 320: Правила IDP: 1. Зайдит
- Page 321 and 322: от атак DoS. 6.6.2. Меха
- Page 323 and 324: потребление всего
- Page 325 and 326: 6.7. «Черный список»
- Page 327 and 328: Глава 7. Преобразов
- Page 329 and 330: пулы». IP-адрес исто
- Page 331 and 332: 4. Удостоверьтесь, ч
- Page 333 and 334: ситуации, когда мно
- Page 335 and 336: 7.4. SAT 2. Затем введит
- Page 337 and 338: Рисунок 7.4. Роль зон
- Page 339 and 340: • Service: http • Source Interf
- Page 341 and 342: 10.0.0.3:1038 => 195.55.66.77:80
- Page 343 and 344: Создайте соответст
- Page 345 and 346: • При обращении к п
- Page 347 and 348: Изменить сложившую
- Page 349 and 350: • Создать IP-правил
- Page 351: Система NetDefendOS може
- Page 355 and 356: Аутентификация LDAP-
- Page 357 and 358: (на большинстве LDAP-
- Page 359 and 360: • Terminator IP Терминир
- Page 361 and 362: # Действие Интерфей
- Page 363 and 364: 3. Нажмите OK 4. Повто
- Page 365 and 366: LoginSuccess, а затем - на
- Page 367 and 368: Глава 9. VPN В данной
- Page 369 and 370: клиенты и филиалы о
- Page 371 and 372: • Укажите IP-правил
- Page 373 and 374: 3. Создайте объект IP
- Page 375 and 376: • Нельзя предварит
- Page 377 and 378: 3. Укажите совместн
- Page 379 and 380: • ip_int - внутренний I
- Page 381 and 382: Оба соединения IKE и
- Page 383 and 384: настройки, такие ка
- Page 385 and 386: Алгоритм Диффи-Хел
- Page 387 and 388: пакете. Далее выпол
- Page 389 and 390: 9.3.6. Списки выбора а
- Page 391 and 392: Далее примените об
- Page 393 and 394: 9.4.1. Обзор IPsec-тунне
- Page 395 and 396: защищенный обмен д
- Page 397 and 398: 1. Зайдите Objects > VPN Obj
- Page 399 and 400: Режим настройки IKE C
- Page 401 and 402: Для запуска провер
Определение LDAP-сервера<br />
В системе NetDefendOS могут быть определены один или несколько объектов «LDAP-сервер». Эти<br />
объекты содержат информацию для системы NetDefendOS о том, какие LDAP-серверы доступны, и<br />
как к ним получить доступ.<br />
Иногда бывает не так просто определить LDAP-сервер в системе NetDefendOS, т.к. некоторое<br />
программное обеспечение для LDAP-серверов не всегда точно соответствует техническим условиям<br />
LDAP. LDAP-администратор может внести изменения в схему (schema) LDAP-сервера так, чтобы<br />
изменилось имя LDAP-атрибута (attribute).<br />
LDAP-атрибуты<br />
Некоторые значения, используемые при определении LDAP, являются атрибутами. А именно:<br />
• атрибут «Имя» (Name);<br />
• атрибут «Принадлежность» (Membership);<br />
• атрибут «Пароль» (Password).<br />
LDAP-атрибут (LDAP attribute) – это пара значений, состоящая из имени атрибута (в данном<br />
руководстве будем называть его идентификатором) и значения атрибута. В качестве примера можно<br />
привести атрибут «имя пользователя», который представляет собой пару значений и состоит из<br />
идентификатора «имя пользователя» и значения «Смит».<br />
Эти атрибуты могут использоваться по-разному, и их значение для LDAP-сервера обычно<br />
определяется схемой базы данных сервера. Схема базы данных может меняться администратором с<br />
целью внесения изменений в атрибуты.<br />
Общие настройки<br />
Для конфигурирования каждого сервера используются следующие общие настройки.<br />
• Имя (Name)<br />
Имя, присвоенное объекту «сервер» для ссылок на него в системе NetDefendOS. Например, в<br />
системе NetDefendOS могут быть определены правила, ссылающиеся на это имя.<br />
Это значение не имеет ничего общего с атрибутом «имя», о котором будет сказано далее.<br />
Это значение используется системой NetDefendOS, а не LDAP-сервером.<br />
• IP-адрес (IP Address)<br />
IP-адрес LDAP-сервера.<br />
• Порт (Port)<br />
Номер порта LDAP-сервера, на котором сервер принимает запросы клиентов, отправленные<br />
с использованием TCP/IP.<br />
По умолчанию порт 389.<br />
• Тайм-аут (Timeout)<br />
Время в секундах, которое дается на попытку аутентификации пользователя LDAPсервером.<br />
Если через указанное время от сервера не приходит ответ на запрос, сервер<br />
считается недоступным.<br />
Тайм-аут по умолчанию составляет 5 секунд.<br />
• Атрибут «имя» (Name Attribute)<br />
Атрибут «имя» – это идентификатор поля данных LDAP-сервера содержащий имя<br />
пользователя. Значением по умолчанию в системе NetDefendOS является uid, который<br />
является корректным для большинства серверов на базе UNIX.<br />
При использовании Microsoft Active Directory, атрибуту «имя» должно быть присвоено<br />
352