NetdefendOS_2.27.01_Firewall_User_Manual_RUS
NetdefendOS_2.27.01_Firewall_User_Manual_RUS
NetdefendOS_2.27.01_Firewall_User_Manual_RUS
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
Аутентификация LDAP-сервера автоматически конфигурируется для работы с использованием<br />
LDAP-аутентификации по BIND-запросу (Bind Request Authentication). Аутентификация проходит<br />
успешно, в случае если соединение с LDAP-сервером установлено, а идентификация отдельных<br />
клиентов в данном случае не имеет значения.<br />
При аутентификации по BIND-запросу не должно возникать перенаправлений с LDAP-сервера. Если<br />
они появляются, то LDAP-сервер воспринимается как недоступный.<br />
Ответы LDAP-сервера<br />
Когда система NetDefendOS посылает запрос LDAP-серверу на аутентификацию пользователя,<br />
возможны следующие варианты:<br />
• Сервер отвечает положительно, и аутентификация пользователя проходит успешно.<br />
Если клиенты используют PPP с CHAP, MS-CHAPv1 или MS-CHAPv2, то это частный<br />
случай, когда аутентификация фактически производится системой NetDefendOS (более<br />
подробно об этом будет сказано далее).<br />
• Сервер отвечает отрицательно, и пользователь не проходит аутентификацию.<br />
• Сервер не отвечает за время тайм-аута, выделенного на ответ серверу. Если определен<br />
только один сервер, то процесс аутентификации завершается. Если для правила<br />
аутентификации пользователя определены альтернативные серверы, то запросы отсылаются<br />
к ним.<br />
Имя пользователя в сочетании с доменным именем<br />
В процессе аутентификации пользователя при вводе комбинации из учетного имени и пароля<br />
некоторым LDAP-серверам требуется доменное имя, чтобы присоединить его к имени пользователя.<br />
Если домен – mydomain.com, то имя пользователя myuser будет определено как<br />
myuser@mydomain.com. Для некоторых LDAP-серверов возможны варианты myuser@domain,<br />
mydomain.com\myuser или mydomain\myuser. Формат записи полностью зависит от настроек<br />
сервера и того, какой формат ему требуется.<br />
Мониторинг статистики в режиме реального времени<br />
Статистика следующих параметров доступа пользователя к LDAP-серверу в процессе<br />
аутентификации доступна в режиме реального времени:<br />
• количество аутентификаций в секунду;<br />
• общее количество запросов на аутентификацию;<br />
• общее количество успешных запросов на аутентификацию;<br />
• общее количество неудачных запросов на аутентификацию;<br />
• общее количество введенных недопустимых имен пользователя;<br />
• общее количество введенных недопустимых паролей.<br />
Команды CLI для LDAP-аутентификации<br />
CLI-объекты, соответствующие LDAP-серверам и используемые для аутентификации, называются<br />
LDAPDatabase-объектами (LDAP-серверы, используемые для поиска сертификатов, называются<br />
LDAPServer-объектами в CLI).<br />
Специальный LDAP-сервер, определенный в системе NetDefendOS для аутентификации, можно<br />
просмотреть с помощью команды:<br />
gw-world:/> show LDAPDatabase <br />
Все содержимое базы данных можно вывести на экран с помощью команды:<br />
gw-world:/> show LDAPDatabase<br />
355