NetdefendOS_2.27.01_Firewall_User_Manual_RUS
NetdefendOS_2.27.01_Firewall_User_Manual_RUS
NetdefendOS_2.27.01_Firewall_User_Manual_RUS
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
(на большинстве LDAP-серверов паролем по умолчанию является userPassword).<br />
Рекомендуется использовать поле description в базе данных LDAP.<br />
• Прежде чем сервер занесет в поле базы данных атрибут «пароль» с установленным<br />
идентификатором, LDAP-администратор должен проверить, что там действительно<br />
находится пароль в текстовом виде. Пароли хранятся на LDAP-сервере в формате<br />
зашифрованного хэша, и автоматическое выполнение этих операций не предусмотрено. Это<br />
выполняется администратором вручную по мере добавления новых пользователей или<br />
изменения текущих паролей пользователей.<br />
Несомненно, это требует некоторых усилий администратора, но если оставить пароли<br />
незашифрованными в текстовом формате на LDAP-сервере, то впоследствии решение<br />
вопросов безопасности заставит приложить не меньше усилий. Это одна из тех причин, по<br />
которым LDAP не подходит для PPP-аутентификации с CHAP, MS-CHAPv1 или MS-<br />
CHAPv2 шифрованием.<br />
Когда система NetDefendOS получает хэш пароля от клиента, она инициирует поисковый запрос<br />
(Search Request) LDAP-серверу. Сервер отправляет ответ на поисковый запрос (Search Response),<br />
содержащий пароль пользователя и данные о принадлежности пользователя к какой-либо группе.<br />
После этого система NetDefendOS может сравнить два хэша. Рисунок 8.2 иллюстрирует это процесс.<br />
Рисунок 8.2. LDAP для PPP с CHAP, MS-CHAPv1 или MS-CHAPv2<br />
Важно: Канал связи с LDAP-сервером должен быть<br />
защищен<br />
Поскольку LDAP-сервер пересылает пароли системе NetDefendOS в формате<br />
простого текста, то канал связи между межсетевым экраном NetDefend и сервером<br />
должен быть защищенным. Если канал, по которому передаются данные, не<br />
является локальным, необходимо использовать VPN-канал.<br />
Доступ к самому LDAP-серверу также должен быть ограничен, так как пароли в<br />
нем хранятся в формате простого текста.<br />
8.2.5. Правила аутентификации<br />
Правило аутентификации (Authentication Rule) должно определяться, когда клиент устанавливает<br />
соединение через межсетевой экран NetDefend и у него запрашиваются учетное имя пользователя и<br />
пароль.<br />
Настройка правил аутентификации аналогична настройке других политик безопасности системы<br />
NetDefendOS. В них также указывается трафик, который должен подчиняться этому правилу.<br />
Правила аутентификации отличаются от других политик тем, что сеть или интерфейс назначения<br />
357